FWSM路由模式实施指南
拓扑如上(
FWSM
在
MSFC
后面,此为惯用配置!)
- 激活
购买
FWSM
后,有一张纸,通过纸上的序列号,到
[url]www.cisco.com/go/license[/url]
申请
license
,然后通过
session slot 2 pro 1
登陆
FWSM
输入:
activation-key xxxx
来激活,通过
sh ver
查看。
- 在MSFC上的相应配置
- 创建所需要的vlan
Vlan 5
Name FWSM_outside_and_MSFC
//vlan5
为
FWSM
的
outside
接口和
MSFC
连接
FWSM
的接口
Vlan 10
Name FWSM_DMZ
Vlan 20
Name FWSM_inside
Int g3/1
Switchport
Sw mode access
Sw access vlan 10
No shut
Int g3/3
Switchport
Sw mo access
Sw access vlan 20
No shut
Int vlan 5
Ip add 192.168.100.1 255.255.255.0
//
注意,这个
IP
是
MSFC
的
IP
,
FWSM
的
IP
到
FWSM
配置模式配置!
//
通过
MSFC
上建立
SVI
,然后吧
SVI
的
VLAN
赋予
FWSM
,这样就在
FWSM
和
MSFC
建立的
3
层的通道(如这里的,在
MSFC
中建立
vlan5
的
SVI
,然后把
vlan5
赋予
FWSM
,这样就能建立起
3
层通道了!)。默认时,只允许一个这样的通道,但是可以通过firewall multiple-vlan-interfaces来允许多个这样的通道
No sh
- 将VLAN赋予FWSM
Firewall vlan-group 1 5,10,20
Firewall module 2 vlan-group 1
//
将
vlan5
、
10
、
20
绑定成一个组,然后把这个组中的
vlan
赋予在插槽
2
中的
FWSM
//
注意,当同时将很多
vlan
绑定到一个组的时候,可能会提示超出
vlan
数,此时只需要将绑定分开
,如
:
firewall vlan-group 1 5,10
firewall vlan-group 2 20
firewall module 2 vlan-group 1
firewall module 2 vlan-group 2
- 验证命令:
Sh ip int bri
Sh vlan bri
- 配置FWSM的连通性
- 连入FWSM
Session slot 2 processor 1
//
连接插槽
2
中的
FWSM
//
注意,
FWSM
可以插在任意
65
或者
76
的任意插槽中!
- 配置IP(配置前无法看到接口)
Int vlan 5
Nameif outside
Security 5
Int vlan 10
Nameif DMZ
Security 10
Int vlan 20
Nameif inside
Security 20
//
此时可以
show
的时候可以看到接口
Int vlan 5
Ip add 192.168.100.2 255.255.255.0
Int vlan 10
Ip add 10.1.10.1 255.255.255.0
Int vlan 20
Ip add 10.1.20.1 255.255.255.0
- 配置路由
Route outside 0
0 192.168.100.1
- 验证
Sh ip add
Sh nameif
Sh int ip bri
Sh int
Sh route
- 开启接口ping:FWSM默认禁止PING其所有接口
Icmp permit inside
Icmp permit outside
- 配置NAT
- 静态NAT
Static (dmz,outside) 192.168.100.100 10.x.10.10
- PAT
Nat (inside) 1 0 0
Global (outside) 1 192.168.100.200
//
各种
NAT
具体配置见我写的《
ASA
实施指南》
- 验证:
Sh run nat
Sh run global
Sh run static
- 访问控制
- 配置ACL
Access-list from_inside permit ip any any
//
注意,
FWSM
从
inside
到
outside
默认也是禁止访问的!!这和
ASA
是不相同的
Access-list outside_to_DMZ per tcp any host 192.168.100.200 eq ftp
- 应用接口
Access-group from_inside in int outside
Access-group outside_to_DMZ in int outside
- 验证
Sh access-list
Sh run access-group
- 配置MPF
Policy-map global_policy
Class inspection_default
Inspect icmp
Inspect ftp
//
具体配置见
ASA
实施指南
- 配置telnet、SSH、ASDM
- 允许telnet
Telnet 10.0.0.0 255.255.255.0 inside
Username tomi password ibm-tomi privilege 15
- 允许SSH
Hostname tomi
Domain tomi.com
crypto key generate rsa modu 1024
Wr
Ssh 0 0 outside
Ssh timeout 30
//outside
只允许
SSH
进来
- 允许ASDM
Http server enable
Http 0 0 inside
Http 0 0 outside
- 保存配置
Copy run st