Guest

ASDM 6.3及以后:Ip options检查配置示例

下载选项

  • PDF     (510.6 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (494.2 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (414.0 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2012 年 4 月 27 日
文档 ID:113499
关于翻译

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文提供配置示例如何配置思科可适应安全工具(ASA)为了传递有启用的某Ip options的IP信息包。

先决条件

要求

本文档没有任何特定的要求。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • 运行软件版本8.3的Cisco ASA及以后

  • Cisco可适应安全经理运行软件版本6.3及以后

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

背景信息

每IP数据包包含与选项域的一IP报头。选项域,通常指Ip options,为最普通的通信提供要求在一些情况中的控制功能,但是多余。特别是, Ip options包括向时间戳、安全和特殊路由的提供。使用Ip options可选,并且字段能包含零个,一个,或者更多选项。

Ip options是安全风险,并且,如果与启用的Ip options字段的一IP数据包通过ASA通过,将泄漏关于网络的内部设置的信息对外部。结果,攻击者能映射您的网络拓扑。当思科ASA是在企业中强制执行安全,默认情况下,它的设备丢弃有启用的Ip options字段的数据包。示例系统消息表示此处,供您的参考:

106012|10.110.1.34||XX.YY.ZZ.ZZ||Deny从10.110.1.34的IP到XX.YY.ZZ.ZZ, Ip options :“路由器警报”

然而,在视频流量必须穿过思科ASA的特定部署方案,有某Ip options的IP信息包必须通过视频会议呼叫通过可能否则发生故障。从Cisco ASA软件版本8.2.2向前,呼叫“Ip options的检查的”新特性介绍。使用此功能,您能控制有特定Ip options的哪些数据包通过思科ASA允许。

默认情况下,此功能启用,并且下面的Ip options的检查在全局策略启用。配置此检查指示ASA允许数据包通过,或者清除指定的Ip options然后允许数据包通过。

  • 结尾选项列表(EOOL)IP选项0 -此选项出现在所有选项结束时为了指示结尾的选项列表。

  • 没有操作(NOP)IP选项1 -此选项域做总长度字段变量。

  • 路由器警报(RTRALT)IP选项20 -此选项通知转接路由器检查数据包的内容,既使当数据包为该路由器不是注定的。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 使用命令查找工具仅限注册用户)可获取有关本部分所使用命令的详细信息。

ASDM 配置

使用ASDM,您能看到如何启用有Ip options字段的IP信息包的检查, NOP。

IP报头的选项域能包含零个,一个,或者更多选项,做总长度字段变量。然而, IP报头必须是32个位的多个。如果位数量所有选项不是32个位的多个, NOP选项用于作为“内部填充符”为了对齐在32位边界的选项。

  1. Configuration>防火墙>对象> Inspect映射> Ip options,并且单击添加

    asa-ip-options-01.gif

  2. Map窗口添加Ip options的Inspect出现。指定Inspect地图的名称,选择允许有没有操作(NOP)选项的数据包,并且点击OK键。

    asa-ip-options-02.gif

    注意: 您能也选择结算从数据包选项的选项值,因此IP数据包的此字段禁用,并且数据包穿过Cisco ASA。

  3. 呼叫testmap的一张新的Inspect地图创建。单击 Apply

    asa-ip-options-03.gif

  4. Configuration>防火墙>服务策略规则,选择现有全局策略,并且单击编辑。编辑服务策略规则窗口出现。选择规则操作选项卡,复选标记Ip options项目,并且选择配置为了分配新建立的检查地图。

    asa-ip-options-04.gif

  5. 选择精选更细微的控制的一张Ip options Inspect地图对检查> testmap,并且点击OK键。

    asa-ip-options-05.gif

  6. 选定Inspect地图可以在Ip options字段查看。点击OK键为了恢复回到服务策略规则选项卡。

    asa-ip-options-06.gif

  7. 使用您的鼠标,请在规则操作选项卡盘旋,以便您能找到所有可用的协议检测地图关联用此全局地图。

    asa-ip-options-07.gif

这是等同CLI配置的示例片断,供您的参考:

Cisco ASA 
ciscoasa(config)#policy-map type inspect ip-options testmap

ciscoasa(config-pmap)#parameters

ciscoasa(config-pmap-p)#nop action allow

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#policy-map global_policy

ciscoasa(config-pmap)#class inspection_default

ciscoasa(config-pmap-c)#inspect ip-options testmap

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#write memory

思科ASA默认行为为了允许RSVP数据包

默认情况下Ip options检查启用。去Configuration>防火墙>服务策略规则。选择全局策略,单击编辑,并且选择默认检验选项卡。这里,您在Ip options字段将查找RSVP协议。这保证RSVP协议通过思科ASA检查并且允许。结果,一端到端视频呼叫建立得不出任何问题。

asa-ip-options-08.gif

验证

使用本部分可确认配置能否正常运行。

命令输出解释程序仅限注册用户)(OIT) 支持某些 show 命令。使用 OIT 可查看对 show 命令输出的分析。

  • show service策略Inspect ip options -显示被丢弃的数据包编号并且/或者允许根据配置的服务策略规则。

故障排除

目前没有针对此配置的故障排除信息。

相关信息

由思科工程师提供

此文档是否有帮助?

反馈

联系我们

本文档适用于以下产品