思科FWSM模块简明配置

　　ios版本：12.2i

　　防火墙模块操作系统版本：

　　路由模式

　　此主题相关图片如下(图1)：

　　把vlan 7 和 vlan 9 分别作为内外接口，vlan 8作为DMZ口。通过vlan 5 与 交换机连接。

　　步骤1.把VLAN划分到防火墙模块中

　　7609(config)#firewall vlan-group 1 7-9

　　/*把vlan7-9划分到vlan-group 1中

　　7609(config)#firewall module 3 vlan-group

　　/*把 vlan-group 1 划分到 module 3中(即防火墙模块，有可能有2块)

　　步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.

　　7609(config)#inter vlan 7609(config-if)#ip addr 10.1.3.2 255.255.255.0

　　/*这样就可以以把vlan 7的流量路由到其他VLAN中了。

　　步骤3.登陆到防火墙模块

　　7609#session slot 3 processor 1

　　/* 3代表防火墙模块

　　步骤4.选择单context或者多context模式

　　FWSW(config)#mode single

　　/* 这里我选择单context模式，多context模式后叙。配置文档开始收，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在单模式下是不需要指定的，明天去验证。

　　步骤5.配置context

　　/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论

　　步骤6.在context模式和系统模式下切换

　　/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论

　　步骤7.配置路由或者透明模式

　　FWSW(config)#no firewall transparent

　　/* 默认就是路由模式，所以在这里不需要修改/

　　步骤8.在路由模式下配置接口

　　FWSW(config)#inter vlan 7FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0FWSW(config-if)#nameif insideFWSW(config-if)#security-levelFWSW(config)#inter vlan 8FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0FWSW(config-if)#nameif DMZFWSW(config-if)#security-level 50FWSW(config)#inter vlan 9FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252FWSW(config-if)#nameif outsideFWSW(config-if)#security-level 0

　　步骤9.配置路由

　　FWSW(config)#route 0 0 202.95.15.25 FWSW(config)#route 10.1.1.0 10.1.3.2FWSW(config)#route 10.1.2.0 10.1.3.2

　　步骤10.配置NAT#

　　FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 anyFWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 anyFWSW(config)#nat (inside) 1 access-list to_internetFWSW(config)#global (outside) 1 interface0FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80access-list webserver permit tcp any 202.95.15.26 80access-group webserver in interface outside

　　交换机配置：

　　7609(config)#inter vlan 57609(config-if)#ip addr 10.1.2.1 255.255.255.07609(config)#inter vlan 67609(config-if)#ip addr 10.1.1.1 255.255.255.07609(config)#inter vlan 77609(config-if)#ip addr 10.1.3.2 255.255.255.0

　　/*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了

　　7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1

　　桥接模式

　　步骤7.配置路由或者透明模式

　　FWSW(config)#firewall transparent

　　步骤8.在透明模式下配置接口

　　FWSW(config)#inter vlan 7FWSW(config-if)#bridge-group 10FWSW(config-if)#nameif insideFWSW(config-if)#security-level 100FWSW(config)#inter bvi 10FWSW(config)#inter vlan 9FWSW(config-if)#bridge-group 10FWSW(config-if)#nameif outsideFWSW(config-if)#security-level 0FWSW(config)#inter bvi 10

　　/*前面定义的组

　　FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0

　　/*管理IP地址

　　在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.

　　步骤9.配置路由

　　/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3

　　FWSW(config)#route 0 0 202.95.15.1

　　/*一般不需要访问外部网络

　　FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3

　　步骤10.放行相应的流量

　　交换机配置:

　　7609(config)#inter vlan 57609(config-if)#ip addr 10.1.2.1 255.255.255.023IR7609(config)#inter vlan 67609(config-if)#ip addr 10.1.1.1 255.255.255.07609(config)#inter vlan 77609(config-if)#ip addr 202.95.15.3 255.255.255.07609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1