在ASDM 6.3及更高版本上配置IP选项检测

下载选项

PDF (505.7 KB)
在各种设备上使用 Adobe Reader 查看
ePub (502.4 KB)
在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
Mobi (Kindle) (413.4 KB)
在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看

已更新: 2012 年 4 月 27 日

文档 ID:113499

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中，非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言，文档中可能无法确保完全使用非歧视性语言。深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言，希望全球的用户都能通过各自的语言得到支持性的内容。请注意：即使是最好的机器翻译，其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任，并建议您总是参考英文原始文档（已提供链接）。

简介

本文档提供了配置思科自适应安全设备(ASA)以传递启用了某些IP选项的IP数据包的示例配置。

先决条件

使用的组件

本文档中的信息基于以下软件和硬件版本：

运行软件版本8.3及更高版本的Cisco ASA
运行软件版本6.3及更高版本的思科自适应安全管理器

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。

背景信息

每个IP数据包都包含一个IP报头，其中包含一个“选项”字段。“选项”字段（通常称为IP选项）提供一些情况下需要的控制功能，但大多数常见通信都不需要这些功能。特别是，IP选项包括时间戳、安全和特殊路由的规定。IP选项的使用是可选的，字段可以包含零、一或多个选项。

IP选项是一种安全风险，如果启用了IP选项字段的IP数据包通过ASA，它会将有关网络内部设置的信息泄露给外部。因此，攻击者可以映射您的网络拓扑。由于Cisco ASA是在企业中实施安全的设备，因此默认情况下，它会丢弃已启用IP选项字段的数据包。此处显示了系统日志消息示例，供您参考：

106012|10.110.1.34||XX.YY.ZZ.ZZ||拒绝IP从10.110.1.34到XX.YY.ZZ.ZZ,IP选项："路由器警报"

但是，在视频流量必须通过Cisco ASA的特定部署场景中，必须通过具有某些IP选项的IP数据包，否则视频会议呼叫可能会失败。从Cisco ASA软件版本8.2.2开始，引入了名为“IP选项检测”的新功能。通过此功能，您可以控制哪些具有特定IP选项的数据包可以通过Cisco ASA。

默认情况下，此功能已启用，并且全局策略中启用了以下IP选项的检查。配置此检查会指示ASA允许数据包通过，或清除指定的IP选项，然后允许数据包通过。

选项列表结束(EOOL)或IP选项0 — 此选项显示在所有选项的末尾，以标记选项列表的结尾。
无操作(NOP)或IP选项1 — 此选项字段使字段的总长度变量。
路由器警报(RTRALT)或IP选项20 — 此选项通知中转路由器检查数据包的内容，即使数据包不是发往该路由器。

配置

本部分提供有关如何配置本文档所述功能的信息。

注意：要获取有关本部分中所使用命令的更多信息，可使用命令查找工具（仅限已注册客户）。

ASDM 配置

使用ASDM，您可以看到如何启用对具有IP选项字段NOP的IP数据包的检查。

IP报头中的Options字段可以包含零、一或多个选项，这使字段的总长度变量。但是，IP报头必须是32位的倍数。如果所有选项的位数不是32位的倍数，则NOP选项将用作“内部填充”，以便在32位边界上对齐选项。

转到Configuration > Firewall > Objects > Inspect Maps > IP-Options ，然后单击Add。
系统将显示Add IP-Options Inspect Map窗口。指定Inspect Map的名称，选择Allow packets with the No Operation(NOP)选项，然后单击OK。

注意：您还可以选择从数据包中清除选项值，以便禁用IP数据包中的此字段，并且数据包通过Cisco ASA。
将创建名为testmap的新检查映射。单击 Apply。
转至Configuration > Firewall > Service Policy Rules，选择现有全局策略，然后单击Edit。系统将显示Edit Service Policy Rule窗口。选择Rule Actions选项卡，选中IP-Options项，然后选择Configure以分配新创建的检测映射。
选择Select an IP-Options inspect map for fine control over inspection > testmap，然后单击OK。
可在IP-Options字段中查看所选检查映射。单击OK以恢复到Service Policy Rules选项卡。
用鼠标将鼠标悬停在Rule Actions选项卡上，以便找到与此全局映射关联的所有可用协议检测映射。

以下是等效CLI配置的示例片段，供您参考：

Cisco ASA
ciscoasa(config)#policy-map type inspect ip-options testmap ciscoasa(config-pmap)#parameters ciscoasa(config-pmap-p)#nop action allow ciscoasa(config-pmap-p)#exit ciscoasa(config)#policy-map global_policy ciscoasa(config-pmap)#class inspection_default ciscoasa(config-pmap-c)#inspect ip-options testmap ciscoasa(config-pmap-p)#exit ciscoasa(config)#write memory

Cisco ASA

ciscoasa(config)#policy-map type inspect ip-options testmap

ciscoasa(config-pmap)#parameters

ciscoasa(config-pmap-p)#nop action allow

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#policy-map global_policy

ciscoasa(config-pmap)#class inspection_default

ciscoasa(config-pmap-c)#inspect ip-options testmap

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#write memory

默认情况下，IP选项检查处于启用状态。转到Configuration > Firewall > Service Policy Rules。选择Global Policy，单击Edit，然后选择Default Inspections选项卡。在此，您将在IP-Options字段中找到RSVP协议。这可确保RSVP协议通过Cisco ASA进行检查和允许。因此，建立端到端视频呼叫时不会出现任何问题。