在ASDM 6.3及更高版本上配置IP選項檢測

下載選項

  • PDF     (558.0 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (502.5 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (413.5 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2012 年 4 月 27 日
文件 ID:113499

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本文提供如何設定思科調適型安全裝置(ASA)的範例組態,以便在啟用某些IP選項的情況下傳遞IP封包。

必要條件

需求

本文件沒有特定需求。

採用元件

本文中的資訊係根據以下軟體和硬體版本:

  • 運行軟體版本8.3及更高版本的Cisco ASA

  • 運行軟體版本6.3及更高版本的思科自適應安全管理器

本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。

慣例

請參閱思科技術提示慣例以瞭解更多有關文件慣例的資訊。

背景資訊

每個IP資料包都包含一個IP報頭,其中包含「選項」欄位。Options欄位(通常稱為IP Options)提供某些情況下所需的控制功能,但對於大多數普通通訊來說這些功能是不必要的。特別是,IP選項包括時間戳、安全性和特殊路由的規定。IP選項的使用是可選的,欄位可以包含零、一個或多個選項。

IP選項存在安全風險,如果啟用IP選項欄位的IP資料包通過ASA,則會向外部洩漏有關網路內部設定的資訊。因此,攻擊者可以對映網路的拓撲。由於Cisco ASA是在企業中實施安全的裝置,因此預設情況下,它會丟棄已啟用IP選項欄位的資料包。此處顯示系統日誌消息示例,供您參考:

106012|10.110.1.34||XX.YY.ZZ.ZZ||拒絕10.110.1.34到XX.YY.ZZ.ZZ的IP,IP選項:"路由器警報"

但是,在影片流量必須通過Cisco ASA的特定部署方案中,必須通過具有某些IP選項的IP資料包,否則影片電話會議可能會失敗。從Cisco ASA軟體版本8.2.2開始,引入了一項稱為「IP選項檢測」的新功能。通過此功能,您可以控制允許哪些具有特定IP選項的資料包通過Cisco ASA。

預設情況下,此功能已啟用,並且在全域性策略中啟用對以下IP選項的檢查。配置此檢測會指示ASA允許資料包通過,或者清除指定的IP選項,然後允許資料包通過。

  • 選項清單結束(EOOL)IP選項0 — 此選項出現在所有選項的結尾,以便標籤選項清單的結尾。

  • 無操作(NOP)IP選項1 — 此選項欄位使欄位的總長度變為變數。

  • 路由器警報(RTRALT)IP選項20 — 此選項會通知傳輸路由器檢查封包的內容,即使封包並非以該路由器為目的地也是如此。

設定

本節提供用於設定本文件中所述功能的資訊。

註:使Command Lookup Tool(僅限註冊客戶)可獲取本節中使用的命令的詳細資訊。

ASDM配置

使用ASDM,您可以看到如何對具有IP選項(NOP)欄位的IP資料包啟用檢測。

IP報頭中的Options欄位可以包含零、一個或多個選項,這會使欄位的總長度變為變數。但是,IP報頭必須是32位的倍數。如果所有選項的位數不是32位的倍數,則NOP選項將用作「內部填充」,以便在32位邊界上對齊選項。

  1. 前往Configuration > Firewall > Objects > Inspect Maps > IP-Options,然後按一下Add

    asa-ip-options-01.gif

  2. 系統將顯示Add IP-Options Inspect Map視窗。指定Inspect Map的名稱,選擇Allow packets with the No Operation(NOP)選項,然後按一下OK

    asa-ip-options-02.gif

    注意:您還可以選擇Clear the option value from the packets選項,以便禁用IP資料包中的此欄位並且資料包通過Cisco ASA。

  3. 建立名為testmap的新檢查對映。按一下「Apply」。

    asa-ip-options-03.gif

  4. 轉至Configuration > Firewall > Service Policy Rules,選擇現有的全域性策略,然後按一下Edit。系統將顯示Edit Service Policy Rule視窗。選擇Rule Actions頁籤,選中標籤IP-Options項,然後選擇Configure以分配新建立的檢測對映。

    asa-ip-options-04.gif

  5. 選擇Select an IP-Options inspect map for fine control over inspection > testmap,然後按一下OK

    asa-ip-options-05.gif

  6. 可以在IP-Options欄位中檢視選定的檢查對映。按一下OK以恢復到Service Policy Rules頁籤。

    asa-ip-options-06.gif

  7. 使用滑鼠懸停在Rule Actions頁籤上,以便可以找到與此全域性對映關聯的所有可用協定檢測對映。

    asa-ip-options-07.gif

以下是等效CLI組態的範例片段,供您參考:

Cisco ASA 
ciscoasa(config)#policy-map type inspect ip-options testmap

ciscoasa(config-pmap)#parameters

ciscoasa(config-pmap-p)#nop action allow

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#policy-map global_policy

ciscoasa(config-pmap)#class inspection_default

ciscoasa(config-pmap-c)#inspect ip-options testmap

ciscoasa(config-pmap-p)#exit

ciscoasa(config)#write memory

允許RSVP資料包的Cisco ASA的預設行為

預設情況下,IP選項檢測已啟用。前往Configuration > Firewall > Service Policy Rules。選擇全域性策略,按一下編輯,然後選擇預設檢測頁籤。您可以在此處的IP-Options欄位中找到RSVP協定。這可確保通過Cisco ASA檢查並允許RSVP協定。因此,端到端影片呼叫建立起來沒有任何問題。

asa-ip-options-08.gif

驗證

使用本節內容,確認您的組態是否正常運作。

輸出直譯器工具(僅供已註冊客戶使用)(OIT)支援某些show命令。使用OIT檢視show命令輸出的分析。

  • show service-policy inspect ip-options — 顯示根據已配置的服務策略規則丟棄和/或允許的資料包數。

疑難排解

目前尚無適用於此組態的具體疑難排解資訊。

相關資訊

修訂記錄

修訂 發佈日期 意見
1.0
27-Apr-2012
初始版本

這份文件是否有所幫助?

Feedback意見

讓思科協助您

本文件適用於這些產品