ルータのステートフルACL

その非常に奇妙な質問ですが、私はあなたのためにいくつかの提案をしたい。 BGPを実行し、 10G インターネット接続を終了させるエッジルータ ASR1000 があります。今では、ルータ上でACLを設定して、悪いトラフィックを外部に保ち、特定のポートだけを許可したいと考えています。次のシナリオ。

[Internal Public IP]------------[ASR1000]-------------[INTERNET]

今私は内部パブリックIPサブネットがインターネット上のすべてにアクセスできるようにします。ステートフルファイアウォールでは接続状態が保持されているため、ルータACLはステートフルではありません。

どうすればこの問題を解決できますか?

  1. 内部から外部へのすべての許可
  2. 特定のトラフィックのみの内部に
3
答えがあなたを助けましたか?もしそうなら、回答を受け入れて、質問が永遠に現れず、答えを探してください。あるいは、あなた自身の答えを提供し、それを受け入れることができます。
追加された 著者 Ron Maupin,

1 答え

IOS/IOS-XEでは、リフレクティブACLを使用するか、Ciscoコンテキストベースアクセス制御(CBAC)またはゾーンベースのファイアウォール(ZBF)でステートフルインスペクションを使用できます。

ZBFはステートフルインスペクションを行う現在の方法です。ゾーンを作成し、そのゾーンをインターフェイスに適用することによって機能します。次に、クラスマップを作成してトラフィックを識別し、ポリシーマップを使用してクラスマップで特定したトラフィックを検査します。次に、トラフィックフロー(内部から外部)を定義し、そのペアにポリシーマップを適用する「ゾーンペア」を作成します。 IOSは、他のファイアウォールと同様に、そのトラフィックに対してステートフルな検査を行います。

IOS XE上のZBFのドキュメントは次のとおりです。

http://www.cisco.com/c/en/us/td/docs/ios-xml/ios/sec_data_zbf/configuration/xe-3s/sec -data-zbf-xe-book/sec-zone-pol-fw.html

4
追加された