CISCO 虚拟防火墙总结

 PIX/ASA虚拟防火墙配置:

R1/R2/R3设置IP地址，并设置一条默认路由，指向自己的下一跳。 SW开启所使用端口，划分VLAN，将F0/15端口设置为trunk端口。 进入防火墙全局模式 show flash:       //查看防火墙Flash中配置文件，如果存在*.cfg   可以使用命令del flash:/*.cfg命令将其删除。 show mode     //查看当前防火墙模式，如果是single单模式，需要使用命令 mode multiple将防火墙设置为多模式。 首先创建管理context 全局： admin-context admin                    //设置管理context的名称为admin context admin               //生成admin这个context config-url flash:/admin.cfg        //设置admin-context的配置文件存放位置和名称 exit changeto context admin     //从当前系统配置模式切换到admin context模式 write                     //写入配置，将会生成admin.cfg文件 changeto system               //返回系统配置模式 进入防火墙的e1 e0.1 e0.2接口，将其激活并配置VLAN（绝对不能配置nameif） int e0.1 vlan 2 int e0.2 vlan 4                 //子接口必须指定到VLAN，默认封装dot.1q协议 （如果不在系统模式将子接口指定到VLAN，之后在context模式中，将无法对接口进行nameif） context c1         //创建第一个context，命名为C1 config-url flash:/c1.cfg           //设置c1 context的配置文件位置及名称。 allocate-interface e1             //将e1接口分配给context c1 allocate-interface e0.1         //将e0.1子接口分配给context c1 context c2       //创建第二个context，命名为C2 config-url flash:/c2.cfg         //设置c2 context的配置文件位置及名称。 allocate-interface e1             //将e1接口分配给context c2 allocate-interface e0.2         //将e0.2子接口分配给context c2 changeto context c1 write                          //写入配置，保存到c1.cfg文件 changeto context c2 write changeto system changeto context c1          //进入C1 context int e1 nameif outside ip add 3.1.1.1 255.255.255.0 no sh int e0.1 nameif inside ip add 1.1.1.254 255.255.255.0 no sh access-list out permit icmp any any         //设置这条acl允许icmp流量放行，方便之后使用ping测试。 access-group out in inter outside             //将out这条acl应用到outside的in方向 changeto context c2 int e1 nameif outside ip add 3.1.1.2 255.255.255.0 no sh int e0.2 nameif inside ip add 2.1.1.254 255.255.255.0 no sh access-list out permit icmp any any access-group out in inter outside 到此为止虚拟防火墙已经配置完毕，但是R1还无法ping通R3 因为当前E1只有一个MAC地址，2层数据帧在到达防火墙E1口时，将不知道如何将数据帧发给谁，所以必须给context 1和context 2分别分配不同的MAC地址 changeto context c1 int e1 mac-address 0001.0001.0001 exit changeto context c2 int e1 mac-address 0002.0002.0002 exit

PIX 虚拟防火墙配置

实验拓扑： 这个拓扑中，中间的PIX配置三个虚拟防火墙，Ethernet0连接到一个3550交换机的TRUNK端口，分别接到三个不同的VLAN，外口Ethernet1连接到Internet，试验中可以使用一台路由器代替。 由于这里Ethernet0是和交换机的TRUNK端口相连，来接收不同VLAN的

实验拓扑：

    这个拓扑中，中间的PIX配置三个虚拟防火墙，Ethernet0连接到一个3550交换机的TRUNK端口，分别接到三个不同的VLAN，外口Ethernet1连接到Internet，试验中可以使用一台路由器代替。

    由于这里Ethernet0是和交换机的TRUNK端口相连，来接收不同VLAN的流量，所以这里使用子接口为TRUNK去VLAN标签，并将这些子接口分配给各个虚拟防火墙，是内部各个VLAN都能访问Internet。

首先配置3550交换机：

interface FastEthernet0/2
 switchport access vlan 2
!
interface FastEthernet0/3
 switchport access vlan 3
!
interface FastEthernet0/4
 switchport access vlan 4
!
interface FastEthernet0/10               //和PIX的Ethernet0口相连
 switchport trunk encapsulation dot1q   //PIX的默认的TRUNK类型就是dot1q
 switchport trunk allowed vlan 2,3,4
 switchport mode trunk

PIX的配置：

changeto system：

interface Ethernet0
!
interface Ethernet0.2
 vlan 2                                //为子接口进行封装，去VLAN标签
interface Ethernet0.3
 vlan 3
interface Ethernet0.4
 vlan 4
!
interface Ethernet1
!
admin-context admin
context admin
  allocate-interface Ethernet0.2 Intf1         //分配E0.2子接口到虚拟防火墙admin，别名是Intf1
  allocate-interface Ethernet1 Intf0            //分配接口E1到虚拟防火墙admin，别名是Intf0
  config-url flash:/admin.cfg
!
context DepartmentA
  allocate-interface Ethernet0.3 Intf1
  allocate-interface Ethernet1 Intf0
  config-url flash:/DepartmentA.cfg
!
context DepartmentB
  allocate-interface Ethernet0.4 Intf1
  allocate-interface Ethernet1 Intf0
  config-url flash:/DepartmentB.cfg

changeto context admin：

interface Intf1
 nameif inside
 security-level 100
 ip address 192.168.2.1 255.255.255.0
!
interface Intf0
 mac-address 00aa.0000.01c1
 nameif outside
 security-level 0
 ip address 192.168.1.10 255.255.255.0
 

changeto context DepartmentA：

interface Intf1
 nameif inside
 security-level 100
 ip address 192.168.3.1 255.255.255.0
!
interface Intf0
 mac-address 00aa.0000.01c2
 nameif outside
 security-level 0
 ip address 192.168.1.11 255.255.255.0

changeto context DepartmentB：

interface Intf1
 nameif inside
 security-level 100
 ip address 192.168.4.1 255.255.255.0
!
interface Intf0
 mac-address 00aa.0000.01c3
 nameif outside
 security-level 0
 ip address 192.168.1.12 255.255.255.0

    最后在试验中代替Internet的路由器上进行验证：

因为当前E1只有一个MAC地址，2层数据帧在到达防火墙E1口时，将不知道如何将数据帧发给谁，需要在C1、C2的E1接口上指定不同的MAC地址来分类流量