欢迎进入网络技术社区论坛，与200万技术人员互动交流 >>进入　　思科认证：可以关闭企业所有IPv6通道？从IPv4转换到IPv6的技术其实主要是隧道技术的应用；这是一项将IPv6数据包装入IPv4数据包的技术，因此这样的数据包可以在仅限IPv4的网络中进行传输。这些隧道也可以用于企业网络中（如穿越一些不支持IPv6的传统网络设备）。
　　当然，网络运营商和安全团队对并不赞成这样的提议。主要的原因是隧道技术可以将真正的IPv6数据包以及网络流分析器给出的与之相关的4层及以上的信息，还有安全ACL，QoS设置等统统隐藏起来。有传言称，使用IPv6 in IPv4的隧道技术作为一种控制方法会导致僵尸网络。简而言之，企业网络中，如果这样的通道不是刻意为之，那么就应该将其关闭。（注意：上面的表述仅限于企业网络，因为个人用户可能非常乐意将其操作系统连接至IPv6网络。）
　　所以，对于网管而言，最根本的问题在于是否能阻止所有通道。
　　就一些6to4或ISATAP通道来说，要回答这个问题并不难：只需用访问控制列表（ACL）阻止所有41协议即可，如：
　　access-list deny 41 any any
　　另一种通道是Teredo，它需要依赖UDP封装技术。Teredo使用的默认端口是3544.或许有人想使用如下的访问控制列表来解决：
　　access-list deny udp any any eq 3544
　　access-list deny udp any eq 3544 any
　　但是，上面的访问控制列表会被恰好需要使用3544端口的普通数据包错误拦截。此外，不法用户也可以改变UDP.这种情况下，思科Flexible Pattern Matching的功能和灵活性就有了用武之地：FPM可以根据指定的偏移量来检查任意数据包，且要在最大平台的软件中完成；也就是说，FPM只在合适的位置使用。找出Teredo数据包的技巧就是要搜索所有UDP数据包，目的是获取所有以2001：：/32开头的Teredo IPv6地址；请注意，此处我们使用的是/32，而不是/16，实际上，应该是2001：0：：/32.还要对IP数据做进一步的检查。
　　完整的FPM配置如下：
　　class-map type stack match-all cm-ip-udp
　　match field IP protocol eq 17 next UDP
　　class-map type access-control match-all cm-teredo1
　　match start udp payload-start offset 0 size 1 eq 0x60 mask 15
　　match start udp payload-start offset 8 size 4 eq 0x20010000
　　class-map type access-control match-all cm-teredo2
　　match start udp payload-start offset 0 size 1 eq 0x60 mask 15
　　match start udp payload-start offset 24 size 4 eq 0x20010000
　　policy-map type access-control pm-teredo
　　class cm-teredo1
　　drop
　　class cm-teredo2
　　drop
　　policy-map type access-control pm-udp-teredo
　　class cm-ip-udp
　　service-policy pm-teredo

[1] [2] 下一页