时间: 2010-10-12 / 分类: +CCNP, +TSHOOT, ★CISCO技术 / 浏览次数: 283 views / 1个评论 发表评论
路由模式注意事项
cisco7609#show module辣椒种植技术
显示FWSM模块的状态cisco7609#session slot 3 p 1 登陆到第3槽位的FWSM,Ctrl-^后,x,表示退出,或exit推出,enable进入
Lisence激活: 第一次进入FWSM,需要激活:登陆www.cisco/go/license
,通过产品授权key申请activation key
hostname(config)#activation-key 0xe02888da 0×4ba7bed6 0xf1c123ae 0xffd8624e 完成激活
FWSM#SH VER 察看激活情况,可以看到security contexts 被激活的个数
FWSM可以插在65或者76的任意一个交换槽位
inside到outside也要有ACL permit
FWSM2.1开始支持same security traffic communication
FWSM和65背板有6G的带宽
默认FWSM只能有一个VLAN和MSFC关联,但是可以通过命令firewall multiple-vlan-interfaces将多个MSFC的SVI和FWSM的VLAN关联
默认FWSM的所有接口禁ping,需要通过icmp permit inside , icmp permit outside放开
支持256个context
context之间的通讯
透明模式注意事项
1. 若使用context,透明模式下每个context可以支持多个接口,但是只支持8个bridge
2. 不能使用NAT
3. 默认时,不放行BPDU,因此可能会有环路,必须输入bpdu forwarding
4.FWSM配置为透明模式时,尽管与透明防火墙的FWSM的inside和outside两个逻辑端口关联的vlan是两个不同的vlan(如 nameifvlan88 inside security100 nameif vlan100 outside
security0),但是从
cat6500上互连出去的ip与inside 或outside(取决于mfsc和fwsm的逻辑位置)互连的mfsc侧的逻辑
端口ip必须是同一网段的ip。
在下图更容易理解:
5. 配置方式:
interface vlan 150
nameif outside
security-level 0
bridge-group 1
interface vlan 4
nameif inside
security-level 100
bridge-group 1
led光源模组interface bvi 1
ip address 10.1.1.1 255.255.255.0
//管理地址
FWSM IOS升级关于虚拟FWSM的升级前一段时间升级一个生产网上的FWSM(只给30分钟的断网时间),因为是第一次做虚拟FWSM升级,故升级之前看了些ciscomanual做了充分准 备,自认为准备的非常充分了:),但结果还是没有想象的那么顺利。实践是检验真理的唯一标准。特写总结出此文档共享给还没有升级过的朋友们以作参考。步骤一:配置SYSFWSM,详细配置如下:SYSFWSM# sh run: Saved:FWSM Version 2.3(3) <system>resource acl-partition 12 enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname SYSFWSM
ftp mode passive
pager lines 24
logging buffer-size 4096
class default
limit-resource IPSec 5
limit-resource Mac-addresses 65535
limit-resource PDM 5
limit-resource SSH 5
limit-resource Telnet 5
limit-resource All 0
!
no failover
failover lan unit secondary
failover polltime unit 1 holdtime 15
failover polltime interface 15
failover interface-policy 50%
arp timeout 14400
!
timeout xlate 3:00:00
timeoutconn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 rpc 0:10:00h323 0:05:00 h225 1:00:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
terminal width 80
admin-context admin
context admin
allocate-interface vlan5
光纤法兰
config-url disk:/admin.cfg
!
context CER-VFWSM1
allocate-interface vlan10
allocate-interface vlan30
config-url disk:/CER-VFWSM1.cfg
!
context CNC-VFWSM2
allocate-interface vlan20
allocate-interface vlan40
config-url disk:/CNC-VFWSM2.cfg
表达载体构建!
Cryptochecksum:72d7c300ff439b67ea036f146a83413b
: end
SYSFWSM# wr m
步骤二:配置admin context
SYSFWSM/admin# sh run
: Saved
:
FWSM Version 2.3(3) <context>
nameif vlan5 inside security100
微型音箱enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname FWSM
fixup protocol dns maximum-length 512
fixup protocol ftp 21
no fixup protocol h323 H225 1720
通信井no fixup protocol h323 ras 1718-1719
fixup protocol icmp
no fixup protocol icmp error
fixup protocol rsh 514
fixup protocol sip 5060
no fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
names
access-list deny-flow-max 4096
access-list alert-interval 300
pager lines 24
logging buffer-size 4096
mtu inside 1500
ip address inside 192.168.254.9 255.255.255.252
icmp permit any inside
no pdm history enable
arp timeout 14400
!
interface inside
!