FWSM 配置

來源:本站原創 CISCO 超過861 views圍觀 0條評論

防火墻透明模式配置
防火墻的透明模式
特性介紹:從PIX 7.0和FWSM 2.2開始防火墻可以支持透明的防火墻模式,接口不需要配置地址信息,工作在二層。只支持兩個接口inside和outside,當然可以配置一個管理接口,但是管理接口不能用于處理用戶流量,在多context模式下不能復用物理端口。由于連接的是同一地址段的網絡,所以不支持NAT,雖然沒有IP地址但是同樣可以配置ACL來檢查流量。
進入透明模式 Firewall(config)# firewall transparent
(show firewall 來驗證當前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切換的時候會清除當前配置文件)
配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注:不用配置IP地址信息,但是其它的屬性還是要配置的,接口的安全等級一般要不一樣,
same-security-traffic permit inter-interface命令可以免除此限制。 
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route  if_name  foreign_network    foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 顯示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 設置MAC地址表過期時間
Firewall(config)# mac-address-table static if_name mac_address 設置靜態MAC條目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址學習(show mac-learn驗證)
ARP檢查 Firewall(config)# arp if_name ip_address mac_address 靜態ARP條目
Firewall(config)# arp-inspection if_name enable    [flood | no-flood]
端口啟用ARP檢查為非IP協議配置轉發策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name

6509的FWMS模塊配置
6509的FWMS模塊配置
我的6509 fwsm筆記
http://bbs.tech-ccie.com/viewthread.php?tid=4910
基于PIX6.0,支持100個VLAN,和switch通過6G的etherchannel連接,802.1q封裝。
未配置的VLAN都作為inside處理,它們之間的通信不經過FWSM。
外發的包到達高安全級端口,要經過NAT修改源地址后流向低安全級端口;流入的包要先經過檢查,修改目標地址后轉發到受保護端口
FWSM可以在MSFC前,也可以在MSFC后
3個配置例子
1
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置過程
· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
FWSM is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o FWSM(config)#nameif 10 outside 0
o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0
o FWSM(config)#nameif 20 inside 100
o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the FWSM.
o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o FWSM(config)#nat (inside) 1 0 0
o FWSM(config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list “outside-acl” to the outside interface as follows:
o FWSM(config)#access-group outside-acl in interface outside
2
OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 與上面例子的不同之處在于:
FWSM通過vlan10連接外部,所以65連接外部的g8/1要屬于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用靜態路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
FWSM使用靜態路由以便使外部數據可以進入內部
o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2
3
DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置過程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的計算機連接端口要設成switchport以便FWSM可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o FWSM(config)#nameif 60 dmz1 60
o FWSM(config)#nameif 50 dmz2 50
o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0
o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o FWSM(config)#global (outside) 2 206.10.10.60
o FWSM(config)#global (dmz2) 2 10.50.50.200
o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o FWSM(config)#global (outside) 3 206.10.10.50
o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有關acl
o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www
o FWSM(config)#access-list web permit tcp any host 206.10.16509的FWMS模塊配置
6509的FWMS模塊配置
我的6509 fwsm筆記
http://bbs.tech-ccie.com/viewthread.php?tid=4910
基于PIX6.0,支持100個VLAN,和switch通過6G的etherchannel連接,802.1q封裝。
未配置的VLAN都作為inside處理,它們之間的通信不經過FWSM。
外發的包到達高安全級端口,要經過NAT修改源地址后流向低安全級端口;流入的包要先經過檢查,修改目標地址后轉發到受保護端口
FWSM可以在MSFC前,也可以在MSFC后
3個配置例子
1
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置過程
· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
FWSM is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o FWSM(config)#nameif 10 outside 0
o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0
o FWSM(config)#nameif 20 inside 100
o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the FWSM.
o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o FWSM(config)#nat (inside) 1 0 0
o FWSM(config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list “outside-acl” to the outside interface as follows:
o FWSM(config)#access-group outside-acl in interface outside
2
OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 與上面例子的不同之處在于:
FWSM通過vlan10連接外部,所以65連接外部的g8/1要屬于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用靜態路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
FWSM使用靜態路由以便使外部數據可以進入內部
o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2
3
DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置過程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的計算機連接端口要設成switchport以便FWSM可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o FWSM(config)#nameif 60 dmz1 60
o FWSM(config)#nameif 50 dmz2 50
o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0
o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o FWSM(config)#global (outside) 2 206.10.10.60
o FWSM(config)#global (dmz2) 2 10.50.50.200
o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o FWSM(config)#global (outside) 3 206.10.10.50
o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有關acl
o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www
o FWSM(config)#access-list web permit tcp any host 206.10.1HSRP 和 GLBP的比較
小弟最近在改造公司的網絡,三臺6509,其中兩臺上面配置了FWSM和IDS模塊,另外一塊沒有,三臺6509放置在兩個機房,主機房為一臺有FWSM和IDS模塊的6509和一臺沒有FWSM和IDS模塊的6509,備份機房放置一臺配置了FWSM和IDS模塊的6509。
小弟網絡中有若干VLAN需要透傳于這三臺6509之間,請教是否可以使用GLBP協議?
GLBP協議和HSRP協議各自具備哪些優劣特性。
2007-3-9 14:34
鏈路冗余:HSRP/SLB/VRRP/GLBP簡單理解
一、HSRP介紹及相關配置
1)HSRP介紹
全稱Hot Standby Routing Protocol,原理比較簡單,類似于服務器HA群集,
兩臺或更多的路由器以同樣的方式配置成Cluster,創建出單個的虛擬路由器,
然后客戶端將網關指向該虛擬路由器。
最后由HSRP決定哪個路由器扮演真正的默認網關。
具體說,HRSP用于在源主機無法動態地學習到網關IP地址的情況下防止默認路由的失敗。
它主要用于多接入,多播和廣播局域網(例如以太網)。
2)相關技術介紹
局域網中,在主網關失效癱瘓的情況下,如何找到備份網關,主要有以下幾種辦法:
proxy ARP
IRDP
動態路由
HSRP
Proxy ARP
支持Proxy ARP 的計算機無論與本網段的計算機還是不同網段的計算機進入通訊都發送ARP廣播以尋找與目的地址相對應的MAC地址,
這時,知道目的地址的路由器會響應ARP的請求,并將自己的MAC地址廣播給源計算機,
然后源計算機就將IP數據包發給該路由器,并由路由器最終將數據包發送到目的。
ARP代理的主要缺點是切換時間長,如果主網關正在傳輸數據時失效,客戶機仍然會繼續發包,導致傳輸中斷,
只有再另外發送Proxy ARP請求或重新啟動之后才能找到備用網關以進行傳輸。
IRDP
支持IRDP的客戶機會監聽主網關發出的“Hello”的多點廣播信息包,
如果該計算機不再收到“Hello”信息時,它就會利用備份路由器進行數據傳輸。
動態路由
如果使用動態路由來實現網關切換,則存在收斂過慢和內存占用的問題。
HRSP
自動切換
3)HRSP原理
需要注意的是,Cluster里的每個成員路由器仍然是標準的路由器,
客戶端仍然可以將成員路由器配置成其默認網關。
在Cisco路由器中,最多可以配置256個HSRP組,
因為HSRP能夠使用的MAC地址類似于:0000.0c07.ac**。
HRSP每隔3秒發送hello包,包括group ID,HSRP group和優先級(默認為100)。
路由器彼此之間依據優先級,確定優先級最高的路由器是活動路由器。
如果優先級相同,在IP地址高的成為活動路由器。
在HRSP組中,只允許同時存在一個活動路由器,其他路由器都處于備用狀態,
備用路由器不轉發數據包。
如果備用路由器持續不斷地收到活動路由器發來的hello包,
則其會一直處于備用狀態。
一旦備用路由器在規定的時間內(Hold Time,默認10秒)沒有收到hello包,,
則認為活動路由器失效,
優先級最高的備用路由器就接替活動路由器的角色,開始轉發數據包。
4)HRSP preempt技術
HRSP技術能夠保證優先級高的路由器失效恢復后總能處于活動狀態。
活動路由器失效后,優先級最高的備用路由器處于活動狀態,
如果沒有使用preempt技術,
則當活動路由器恢復后,只能處于備用狀態,
先前的備用服務器代替其角色處于活動狀態,直到下一次選舉發生。
5)HRSP track技術
如果所監測的端口出現故障,則也可以進行路由器的切換。
如果主路由器上有多條線路被跟蹤,
則當一條線路出現故障時,就會切換到備份路由器上,即使其他都線路正常工作,
直到主路由器該線路正常工作,才能重新切換回來。
該功能在實際應用中完全可以由線路備份功能實現。
6)HRSP配置
routerA#conf t
routerA(config)#int e0
routerA(config)#standby ip 172.16.1.254
routerA(config)#standby preempt
routerA(config)#standby track serial 0
routerA(config)#exit
routerA#
二、SLB介紹及相關配置
1)SLB介紹
全稱Server Load Balancing,可以看作HSRP的擴展,實現多個服務器之間的復雜均衡。
虛擬服務器代表的是多個真實服務器的群集,
客戶端向虛擬服務器發起連接時,通過某種復雜均衡算法,轉發到某真實服務器。
負載均衡算法有兩種:
Weighted round robin(WRR)和Weighted least connections(WLC),
WRR使用加權輪詢算法分配連接,WLC通過一定的權值,將下一個連接分配給活動連接數少的服務器。
2)SLB配置
配置分為兩部分,
第一部分是使用slb serverfarm serverfarm_name命令定義SLB選項,包括指定真實服務器地址;
第二部分是使用ip slb vserver virtual_server-name來指定虛擬服務器地址。
router#config t
router(config)#ip slb serverfarm email
router(config-slb-sfarm)#real 192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real 192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ip slb vserver vserver_one
router(config-slb-vserver)#vitual 10.1.1.1 tcp 25
router(config-slb-vserver)#serverfarm email
router(config-slb-vserver)#inservice
router(config-slb-vserver)#exit
router(config)#exit
router#
三、VRRP介紹
全稱Virtual Router Redundancy Protocol,和HSRP類似,
只是HSRP是Cisco專有的協議,只應用在Cisco設備上。
VRRP符合Internet標準,定義見RFC2338,是不同廠家之間共同遵循的標準。
VRRP負責從VRRP路由器組中選擇一個作為Master,
然后客戶端使用虛擬路由器地址作為其默認網關。
配置例子見:http://www.2umm.com/xxlr1.asp?id=6134
四、GLBP介紹及配置
1)GLBP介紹
全稱Gateway Load Banancing Protocol,
和HRSP、VRRP不同的是,GLBP不僅提供冗余網關,還在各網關之間提供負載均衡,
而HRSP、VRRP都必須選定一個活動路由器,而備用路由器則處于閑置狀態。
和HRSP不同的是,GLBP可以綁定多個MAC地址到虛擬IP,
從而允許客戶端選擇不同的路由器作為其默認網關,而網關地址仍使用相同的虛擬IP,
從而實現一定的冗余。
2)活動網關選舉
使用類似于HRSP的機制選舉活動網關,
優先級最高的路由器成為活動落由器,稱作Acitve Virtual Gateway,其他非AVG提供冗余。
某路由器被推舉為AVG后,和HRSP不同的工作開始了,AVG分配虛擬的MAC地址給其他GLBP組成員。
所有的GLBP組中的路由器都轉發包,
但是各路由器只負責轉發與自己的虛擬MAC地址的相關的數據包。
3)地址分配
每個GLBP組中最多有4個虛擬MAC地址,非AVG路由器有AVG按序分配虛擬MAC地址,
非AVG也被稱作Active Virtual Forwarder(AVF)。
AVF分為兩類:Primary Virtual Forwarder和Secondary Virtual Forwarder。
直接由AVG分配虛擬MAC地址的路由器被稱作Primary Virtual Forwarder,
后續不知道AVG真實IP地址的組成員,只能使用hellos包來識別其身份,然后被分配虛擬MAC地址,此類被稱作Secondary Virtual Forwarder。
4)GLBP配置
如果AVG失效,則推舉就會發生,決定哪個AVF替代AVG來分配MAC地址,推舉機制依賴于優先級。
最多可以配置1024個GLBP組,不同的用戶組可以配置成使用不同的組AVG來作為其網關。
router#conf t
router(config)#int fastethernet 0/0
router(config-if)#ip address 10.1.1.1
router(config-if)#glbp 99 ip 10.1.1.254
router(config-if)#glbp 99 priority 105
router(config-if)#glbp 99 preempt delay 10
router(config-if)#glbp 99 weighting track int s0 10
router(config-if)#exit
router(config)#^Z

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文標題:FWSM 配置
本文鏈接:http://www.qdxgqk.live/?p=253轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
?
暫時還木有人評論,坐等沙發!
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏