IOSでZBFWを構成する場合、「class-default」クラスは、検査アクション(パスとドロップのみ)を許可しません。ステートフルインスペクションですべてのトラフィックを照合するための推奨される方法は何ですか?TCP、UDP、およびICMPのマッチングは問題なく動作するようですが、これは理想的ではありません。
class-map type inspect match-any All_Protocols
match protocol tcp
match protocol udp
match protocol icmp
回答:
うまくいくはずです。それか、次のようなものを使用します:
R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will be inspected
特定のプロトコルがクラスマップで一致しない場合、すべてのプロトコルに一致します。