FWSM防火墙卡板配置

FWSM：Fire Wall Serivces Module，防火墙模块，是CISCO 推出的功能强大的防火墙模块，用以部署在6500系列交换机和7600路由器上面，作为企业核心防火墙。

FWSM卡板功能强大，通过逻辑防火墙来保护网络安全性。

关键词：

         Acitve\Standy模式，Active\Active模式

         failover

         failoverlink ，statelink

         context逻辑防火墙

与ASA系列防火墙不同，FWSM卡板不提供任何物理接口，所以对流量的保护是通过逻辑端口来实现，即Vlan，将不同的Vlan接口定义不同的安全级别来达到防火墙的功能。FWSM同样提供了强大的failover功能，用以做热备份。 FWSM卡板性能强大，可以提供上百个逻辑防火墙，不过需要买CISCO的授权，默认每个卡板只支持2个用户虚拟防火墙，20个虚拟防火墙授权大概要8万元，费用还是很高的，但是单价肯定要比ASA低很多。

部署实例：6509E两台，3750G一台。

        

如图所示，2台6509作为核心主干，2块FWSM卡板做failover模式，受保护网络核心为3750G，通过2路上连到核心主干。

架构：

         Vlan211是内部接口，Vlan299是外部接口，用以和6509通信。6509的G3/23口连接3750的端口。注意，防火墙的双链路冗余和3层路由不同，是2层链路上的冗余。所以即使是A\A模式，对于同一个context来说，也不是负载均衡的，只不过如果context很多，可以互相调整主和备，使2台防火墙都工作，如果是A\S模式，则不能。Vlan211和Vlan299之所以都是29位，是因为内部接口需要3个地址，外部接口需要5个地址。为了保证更高的冗余性，外部接口采用HSRP，用以保证外部网关的更高的可靠性（因为有可能6509挂掉）。

配置过程：

         大体2个部分，6509外的和6509内的（防火墙模块）

6509外的配置：

        在6509上面配置需要的逻辑接口Vlan，注意：防火内部的Vlan也是在外面定义的，而并不是在防火墙里面定义。

Router(config)# firewall vlan-group firewall_group vlan_range   #将需要划分进入防火墙的vlan划入不同的group，IOS支持16个group，如果context少，可以都划分到一个group中，也可以分类别划分group。

Router(config)# firewall module module_number vlan-group firewall_group  #将vlan-group添加进防火墙模块中，这里的module_number是你防火墙卡板的槽位，比如我的防火墙卡板在第2槽，则module_number 就是 2。注意，每次添加Vlan进入vlan-group的时候，都要在之后调用此命令，否则新增加的vlan不会划分进入防火墙内。

将Vlan211和Vlan299划分进入防火墙后外部配置基本完成。

6509内的配置（防火墙）

 6509#session slot 2 processor 1 #通过这个命令进入防火墙内，slot2 为你防火墙的槽位

FWSM(config)# no firewall transparent  #将防火墙设置为网络模式。

FWSM(config)# mode multiple   #将防火墙设置为multiple模式，用以支持A\A模式。此命令之后要重新启动防火墙卡板。

定义在A/A模式下的failover

主防火墙配置（图中6509I）

FWSM(config)# failover lan unit primary   #定义此卡板为主

FWSM(config)# failover lan interface failoverlink vlan 900   #定义failoverlik vlan 为900，此failoverlink是用来同步一些failover信息，如hello包等。

FWSM(config)# failover interface ip failoverlink 10.75.0.1 255.255.254 standby 10.75.0.2   #定义failoverlink的ip，注意要求主和备必须是同一个网段内。

FWSM(config)# failover link statelink vlan 901 #定义statelink，用以同步数据，也可以不定义，则同步的数据是通过failoverlink。

FWSM(config)# failover interface ip statelink 10.75.0.5 255.255.255.254 standby 10.75.0.6  #定义statelink的主和备。

FWSM(config)# failover group 1  #进入group 1

FWSM(config-fover-group)# primary   #将group 1 设置设置为主

FWSM(config)# failover group 2      #进入group 2

FWSM(config-fover-group)# secondary     #将group 2  设置为备

FWSM(config)# context BJ-Security     #创建逻辑防火墙BJ

FWSM(config-ctx)# join-failover-group 1    #将此防火墙加入group 1

FWSM(config)#failover  #启用failover

备防火墙配置（图中6509II）

FWSM(config)# failover lan unit secondary  #定义此卡板为备

FWSM(config)# failover lan interface failoverlink vlan 900  

FWSM(config)# failover interface ip failoverlink 10.75.0.1 255.255.254 standby 10.75.0.2

FWSM(config)#failover

至此防火墙的failover 模式配置ok，下一步进入逻辑防火墙配置。

FWSM(config)# context BJ #定义BJ

FWSM(config-ctx)# allocate-interface vlan 211 299   #将vlan211 299划入此逻辑防火墙

FWSM# changeto context BJ     #进入逻辑防火墙 BJ

之后就是和ASA防火墙一样了，定义访问控制，策略，NAT等等。

 

 

 

 

 

 

 

 

本文出自 “6509E” 博客，转载请与作者联系！