思科FWSM模块简明配置-51CTO.COM

ios版本：12.2i
防火墙模块操作系统版本：
路由模式
此主题相关图片如下(图1)：

把vlan 7 和 vlan 9 分别作为内外接口，vlan 8作为DMZ口。通过vlan 5 与交换机连接。

步骤1.把VLAN划分到防火墙模块中

7609(config)#firewall vlan-group 1 7-91.

/*把vlan7-9划分到vlan-group 1中

7609(config)#firewall module 3 vlan-group1.

/*把 vlan-group 1 划分到 module 3中（即防火墙模块，有可能有2块）

步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.

7609(config)#inter vlan 
7609(config-if)#ip addr 10.1.3.2 255.255.255.01.
2.

/*这样就可以以把vlan 7的流量路由到其他VLAN中了。

步骤3.登陆到防火墙模块

7609#session slot 3 processor 11.

/* 3代表防火墙模块

步骤4.选择单context或者多context模式

FWSW(config)#mode single1.

/* 这里我选择单context模式，多context模式后叙。配置文档开始收，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在单模式下是不需要指定的，明天去验证。

步骤5.配置context

/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论

步骤6.在context模式和系统模式下切换

/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论

步骤7.配置路由或者透明模式

FWSW(config)#no firewall transparent1.

/* 默认就是路由模式，所以在这里不需要修改/

步骤8.在路由模式下配置接口

FWSW(config)#inter vlan 7
FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level
FWSW(config)#inter vlan 8
FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0
FWSW(config-if)#nameif DMZ
FWSW(config-if)#security-level 50
FWSW(config)#inter vlan 9
FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 01.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.

#p#

步骤9.配置路由

FWSW(config)#route 0 0 202.95.15.25 
FWSW(config)#route 10.1.1.0 10.1.3.2
FWSW(config)#route 10.1.2.0 10.1.3.21.
2.
3.

步骤10.配置NAT#

FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any
FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any
FWSW(config)#nat (inside) 1 access-list to_internet
FWSW(config)#global (outside) 1 interface0
FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80
access-list webserver permit tcp any 202.95.15.26 80
access-group webserver in interface outside1.
2.
3.
4.
5.
6.
7.

交换机配置：

7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.0
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 10.1.3.2 255.255.255.01.
2.
3.
4.
5.
6.

/*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了

7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1
1.

桥接模式

步骤7.配置路由或者透明模式

FWSW(config)#firewall transparent1.

步骤8.在透明模式下配置接口

FWSW(config)#inter vlan 7
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level 100
FWSW(config)#inter bvi 10
FWSW(config)#inter vlan 9
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
FWSW(config)#inter bvi 10
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.

/*前面定义的组

FWSW(config-if)#ip addr 202.15.25.2 255.255.255.01.

/*管理IP地址

在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.

步骤9.配置路由

/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3

FWSW(config)#route 0 0 202.95.15.11.

/*一般不需要访问外部网络

FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.31.

步骤10.放行相应的流量

交换机配置:

7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.023IR
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 202.95.15.3 255.255.255.0
7609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.11.
2.
3.
4.
5.
6.
7.

【编辑推荐】