ios版本:12.2i
防火墻模塊操作系統版本:
路由模式
此主題相關圖片如下(圖1):
把vlan 7 和 vlan 9 分別作為內外接口,vlan 8作為DMZ口。通過vlan 5 與 交換機連接。
步驟1.把VLAN劃分到防火墻模塊中
7609(config)#firewall vlan-group 1 7-9 |
/*把vlan7-9劃分到vlan-group 1中
7609(config)#firewall module 3 vlan-group |
/*把 vlan-group 1 劃分到 module 3中(即防火墻模塊,有可能有2塊)
步驟2.把SVI口劃分到交換機中,如果相應的vlan需要路由的話,如果不需要路由則不需要.
7609(config)#inter vlan
7609(config-if)#ip addr 10.1.3.2 255.255.255.0 |
/*這樣就可以以把vlan 7的流量路由到其他VLAN中了。
步驟3.登陸到防火墻模塊
7609#session slot 3 processor 1 |
/* 3代表防火墻模塊
步驟4.選擇單context或者多context模式
/* 這里我選擇單context模式,多context模式后敘。配置文檔開始收,不管單模式還是多模式,配置文件都需要指定,但是后面的配置實例在單模式下是不需要指定的,明天去驗證。
步驟5.配置context
/* 我這里選擇是單模式,所以不需要配置。在配置多模式的時候再討論
步驟6.在context模式和系統模式下切換
/* 我這里選擇是單模式,所以不需要配置。在配置多模式的時候再討論
步驟7.配置路由或者透明模式
FWSW(config)#no firewall transparent |
/* 默認就是路由模式,所以在這里不需要修改/
步驟8.在路由模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level
FWSW(config)#inter vlan 8
FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0
FWSW(config-if)#nameif DMZ
FWSW(config-if)#security-level 50
FWSW(config)#inter vlan 9
FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0 |
#p#
步驟9.配置路由
FWSW(config)#route 0 0 202.95.15.25
FWSW(config)#route 10.1.1.0 10.1.3.2
FWSW(config)#route 10.1.2.0 10.1.3.2 |
步驟10.配置NAT#
FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any
FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any
FWSW(config)#nat (inside) 1 access-list to_internet
FWSW(config)#global (outside) 1 interface0
FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80
access-list webserver permit tcp any 202.95.15.26 80
access-group webserver in interface outside |
交換機配置:
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.0
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 10.1.3.2 255.255.255.0 |
/*把SVI劃到MSFC中,這樣就可以就可以路由VLAN之間的流量了
7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1
|
橋接模式
步驟7.配置路由或者透明模式
FWSW(config)#firewall transparent |
步驟8.在透明模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level 100
FWSW(config)#inter bvi 10
FWSW(config)#inter vlan 9
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
FWSW(config)#inter bvi 10
|
/*前面定義的組
FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0 |
/*管理IP地址
在定義group的IP地址時候不要把子網劃分少于3個IP地址,因為默認防火墻會過濾這個第一個和最后一個IP地址的.
步驟9.配置路由
/*假設對端ip地址是202.15.25.1 group ip為202.15.25.2 MSFC對應IP202.15.25.3
FWSW(config)#route 0 0 202.95.15.1 |
/*一般不需要訪問外部網絡
FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3 |
步驟10.放行相應的流量
交換機配置:
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.023IR
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 202.95.15.3 255.255.255.0
7609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1 |
【編輯推薦】
- 思科FWSM模塊曝漏洞 可引發DoS攻擊
- 思科28系列ISR(集成多業務路由器)
- CCNP:提高傳輸效率三層交換及VLAN設置
