Al configurar ZBFW en IOS, la clase "class-default" no permite la acción de inspección (solo pasar y soltar). ¿Cuál es la forma recomendada de hacer coincidir todo el tráfico para una inspección con estado? La coincidencia de TCP, UDP e ICMP parece funcionar bien, pero esto no parece ideal:
class-map type inspect match-any All_Protocols
match protocol tcp
match protocol udp
match protocol icmp
Respuestas:
Eso debería funcionar. O eso o usa algo como:
R1(config)#ip access-list extended MATCH-ALL
R1(config-ext-nacl)#permit ip any any
R1(config-ext-nacl)#class-map type inspect match-any CM_MATCH-ALL
R1(config-cmap)#match access-group name MATCH-ALL
R1(config-cmap)#policy-map type inspect PM_IN->OUT
R1(config-pmap)#class CM_MATCH-ALL
R1(config-pmap-c)#inspect
%No specific protocol configured in class CM_MATCH-ALL for inspection. All protocols will be inspected
Si no se coincide ningún protocolo específico en el mapa de clase, coincidirá con todos los protocolos.