ios版本:12.2i
防火墙模块操作系统版本:
路由模式
此主题相关图片如下(图1):
把vlan 7 和 vlan 9 分别作为内外接口,vlan 8作为DMZ口。通过vlan 5 与 交换机连接。
步骤1.把VLAN划分到防火墙模块中
7609(config)#firewall vlan-group 1 7-9 |
/*把vlan7-9划分到vlan-group 1中
7609(config)#firewall module 3 vlan-group |
/*把 vlan-group 1 划分到 module 3中(即防火墙模块,有可能有2块)
步骤2.把SVI口划分到交换机中,如果相应的vlan需要路由的话,如果不需要路由则不需要.
7609(config)#inter vlan
7609(config-if)#ip addr 10.1.3.2 255.255.255.0 |
/*这样就可以以把vlan 7的流量路由到其他VLAN中了。
步骤3.登陆到防火墙模块
7609#session slot 3 processor 1 |
/* 3代表防火墙模块
步骤4.选择单context或者多context模式
/* 这里我选择单context模式,多context模式后叙。配置文档开始收,不管单模式还是多模式,配置文件都需要指定,但是后面的配置实例在单模式下是不需要指定的,明天去验证。
步骤5.配置context
/* 我这里选择是单模式,所以不需要配置。在配置多模式的时候再讨论
步骤6.在context模式和系统模式下切换
/* 我这里选择是单模式,所以不需要配置。在配置多模式的时候再讨论
步骤7.配置路由或者透明模式
FWSW(config)#no firewall transparent |
/* 默认就是路由模式,所以在这里不需要修改/
步骤8.在路由模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level
FWSW(config)#inter vlan 8
FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0
FWSW(config-if)#nameif DMZ
FWSW(config-if)#security-level 50
FWSW(config)#inter vlan 9
FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0 |
#p#
步骤9.配置路由
FWSW(config)#route 0 0 202.95.15.25
FWSW(config)#route 10.1.1.0 10.1.3.2
FWSW(config)#route 10.1.2.0 10.1.3.2 |
步骤10.配置NAT#
FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any
FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any
FWSW(config)#nat (inside) 1 access-list to_internet
FWSW(config)#global (outside) 1 interface0
FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80
access-list webserver permit tcp any 202.95.15.26 80
access-group webserver in interface outside |
交换机配置:
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.0
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 10.1.3.2 255.255.255.0 |
/*把SVI划到MSFC中,这样就可以就可以路由VLAN之间的流量了
7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1
|
桥接模式
步骤7.配置路由或者透明模式
FWSW(config)#firewall transparent |
步骤8.在透明模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level 100
FWSW(config)#inter bvi 10
FWSW(config)#inter vlan 9
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
FWSW(config)#inter bvi 10
|
/*前面定义的组
FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0 |
/*管理IP地址
在定义group的IP地址时候不要把子网划分少于3个IP地址,因为默认防火墙会过滤这个第一个和最后一个IP地址的.
步骤9.配置路由
/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3
FWSW(config)#route 0 0 202.95.15.1 |
/*一般不需要访问外部网络
FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3 |
步骤10.放行相应的流量
交换机配置:
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.023IR
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 202.95.15.3 255.255.255.0
7609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1 |
【编辑推荐】
- 思科FWSM模块曝漏洞 可引发DoS攻击
- 思科28系列ISR(集成多业务路由器)
- CCNP:提高传输效率三层交换及VLAN设置
