- 1、本文档共7页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
FWSM路由模式实施指南
FWSM路由模式实施指南?
?
激活
购买FWSM后,有一张纸,通过纸上的序列号,到/go/license 申请license,然后通过session slot 2 pro 1登陆FWSM输入:activation-key xxxx来激活,通过sh ver查看。
?
在MSFC上的相应配置
创建所需要的vlan
Vlan 5
Name FWSM_outside_and_MSFC
//vlan5为FWSM的outside接口和MSFC连接FWSM的接口
Vlan 10
Name FWSM_DMZ
Vlan 20
Name FWSM_inside
Int g3/1
Switchport
Sw mode access
Sw access vlan 10
No shut
Int g3/3
Switchport
Sw mo access
Sw access vlan 20
No shut
Int vlan 5
Ip add
//注意,这个IP是MSFC的IP,FWSM的IP到FWSM配置模式配置!
//通过MSFC上建立SVI,然后吧SVI的VLAN赋予FWSM,这样就在FWSM和MSFC建立的3层的通道(如这里的,在MSFC中建立vlan5的SVI,然后把vlan5赋予FWSM,这样就能建立起3层通道了!)。默认时,只允许一个这样的通道,但是可以通过firewall multiple-vlan-interfaces来允许多个这样的通道
No sh
将VLAN赋予FWSM
Firewall vlan-group 1 5,10,20
Firewall module 2 vlan-group 1
//将vlan5、10、20绑定成一个组,然后把这个组中的vlan赋予在插槽2中的FWSM
//注意,当同时将很多vlan绑定到一个组的时候,可能会提示超出vlan数,此时只需要将绑定分开,如:
firewall vlan-group 1 5,10
firewall vlan-group 2 20
firewall module 2 vlan-group 1
firewall module 2 vlan-group 2
验证命令:
Sh ip int bri
Sh vlan bri
?
配置FWSM的连通性
连入FWSM
Session slot 2 processor 1
//连接插槽2中的FWSM
//注意,FWSM可以插在任意65或者76的任意插槽中!
配置IP(配置前无法看到接口)
Int vlan 5
Nameif outside
Security 5
Int vlan 10
Nameif DMZ
Security 10
Int vlan 20
Nameif inside
Security 20
//此时可以show的时候可以看到接口
Int vlan 5
Ip add
Int vlan 10
Ip add
Int vlan 20
Ip add
配置路由
Route outside 0 0
验证
Sh ip add
Sh nameif
Sh int ip bri
Sh int
Sh route
?
开启接口ping:FWSM默认禁止PING其所有接口
Icmp permit inside
Icmp permit outside
?
配置NAT
静态NAT
Static (dmz,outside) 00 10.x.10.10
PAT
Nat (inside) 1 0 0
Global (outside) 1 00
//各种NAT具体配置见我写的《ASA实施指南》
验证:
Sh run nat
Sh run global
Sh run static
?
访问控制
配置ACL
Access-list from_inside permit ip any any
//注意,FWSM从inside到outside默认也是禁止访问的!!这和ASA是不相同的
Access-list outside_to_DMZ per tcp any host 00 eq ftp
应用接口
Access-group from_inside in int outside
Access-group outside_to_DMZ in int outside
验证
Sh access-list
Sh run access-group
?
配置MPF
Policy-map global_policy
Class inspection_default
Inspect icmp
Inspect ftp
//具体配置见ASA实施指南
?
配置telnet、SSH、ASDM
允许telnet
Telnet inside
Usern
文档评论(0)