随着IPv4地址的枯竭，IPv4地址将成为历史，取而代之的将是IPv6地址。我发现很多企业的网管在向IPv6迁移的问题上都显得犹豫不决，可能是觉得这是个全新的领域，迁移起来会很麻烦。但实际工作，比如防火墙服务的调整，并没有大家想象的那么难。Cisco IOS可以支持多种防火墙配置方式。比如你的设备有以下几个静态

1. access-list:
2. access-list 101 permit tcp any host 10.1.1.1 eq www
3.  
4. access-list 101 permit tcp any host 10.1.1.1 eq ftp
5.  
6. access-list 101 permit tcp any host 10.1.1.1 eq 22
7.  
8. 在 IPv6 路由器中，access-list配置也同样存在，只不过像有了扩展名的access-list。
9.  
10. IPv6访问列表范例：
11.  
12. permit tcp any host 2001:DB9:2:3::3 eq www sequence 10
13.  
14. permit tcp any host 2001:DB9:2:3::3 eq telnet sequence 20
15.  
16. permit tcp any host 2001:DB9:2:3::3 eq 22 sequence 30
17.  
18. permit tcp any host 2001:DB9:2:3::3 eq ftp sequence 40
19.  
20. 使用ip traffic-filter命令控制端口要比我们习惯的ip access-group 命令使用起来更简单明了。
21.  
22. IOS中的Reflexive Access-list:
23.  
24. interface Ethernet0/1
25.  
26. ip address 172.16.1.2 255.255.255.0
27.  
28. ip access-group inboundfilter in
29.  
30. ip access-group outboundfilter out
31.  
32. ip access-list extended inboundfilter
33.  
34. permit icmp 172.16.1.0 0.0.0.255 10.1.1.0 0.0.0.255
35.  
36. evaluate tcptraffic
37.  
38. ip access-list extended outboundfilter
39.  
40. permit icmp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255
41.  
42. permit tcp 10.1.1.0 0.0.0.255 172.16.1.0 0.0.0.255 reflect tcptraffic
43.  
44. 同样需要配置reflexive access-lists的IPv6模式，操作差别不大：
45.  
46. interface Ethernet0/1
47.  
48. ipv6 address 2001:db9:1::1/64
49.  
50. ipv6 traffic-filter inboundfilter in
51.  
52. ipv6 traffic-filter outboundfilter out
53.  
54. ipv6 access-list inboundfilter
55.  
56. permit icmp host 2001:db8:1::F host 2001:db9:2::2
57.  
58. evaluate tcptraffic
59.  
60. ipv6 access-list outboundfilter
61.  
62. permit tcp any any reflect tcptraffic
63.  
64. Permit icmp any any
65.  
66. 基于内容的访问控制 (CBAC)也被称作IOS防火墙。
67.  
68. 在 IPv4 环境下，这个防火墙看起来是下面这样：
69.  
70. ip inspect name FW tcp
71.  
72. !
73.  
74. interface Ethernet0
75.  
76. ip address 10.10.10.2 255.255.255.0
77.  
78. ip access-group 101 in
79.  
80. ip inspect FW in
81.  
82. !
83.  
84. interface Serial0.1 point-to-point
85.  
86. ip address 10.10.11.2 255.255.255.252
87.  
88. ip access-group 102 in
89.  
90. frame-relay interface-dlci 200 IETF
91.  
92. !
93.  
94. 在 IPv6环境，基本没什么变化：
95.  
96. ip inspect name FW tcp
97.  
98. !
99.  
100. interface Ethernet0
101.  
102. ipv6 address 2001:db9:1::1/64
103.  
104. ipv6 traffic-filter inboundfilter in
105.  
106. ip inspect FW in
107.  
108. !
109.  
110. interface Serial0.1 point-to-point
111.  
112. ipv6 address 2001:db9:2::A/64
113.  
114. ipv6 traffic-filter outboundfilter in
115.  
116. frame-relay interface-dlci 200 IETF
117.  
118. !
119.  
120. 另外还有Zone-Based防火墙，在IPv4和IPv6环境都是这样：
121.  
122. class-map type inspect match-any MYPROTOS
123.  
124. match protocol tcp
125.  
126. match protocol udp
127.  
128. match protocol icmp
129.  
130. !
131.  
132. policy-map type inspect OUTBOUND
133.  
134. class type inspect MYPROTOS
135.  
136. inspect
137.  
138. !
139.  
140. zone security inside
141.  
142. zone security outside
143.  
144. !
145.  
146. zone-pair security IN>OUT source inside destination outside
147.  
148. service-policy type inspect OUTBOUND
149.  
150. !
151.  
152. interface fastethernet0/0
153.  
154. zone-member security private
155.  
156. !
157.  
158. interface fastethernet0/1
159.  
160. zone-member security public
161.  
162. !
163.  
164.  
165. TechTarget中国原创内容，原文链接：http://www.searchnetworking.com.cn/showcontent_53322.htm

通过上述策略，你可以将IPv4或IPv6地址添加到端口上。TCP, UDP, 和 ICMP并不属于三层协议，因此防火墙服务不会受到影响。
总之，上面是个很简单的例子，主要就是为了说明一件事，即在Cisco IOS设备上配置防火墙不论是IPv4还是IPv6，差别都不太大。所以，大家现在就可以开始考虑让自己企业的网络能够支持双协议，同时让防火墙正常工作。