Cisco Catalyst 6509交换机FWSM防火墙模块配置资料大全

network · 发表于 2008-4-20 12:22:50

CISCO 6509防火墙模块配置

分成两个部分进行配置：

　　Catalyst 6509加模块，可以看成是两个设备的连接，即一个防火墙加一个路由器。

　　FWSM：

nameif vlan3 outside security0

nameif vlan5 inside security100

ip address outside 192.168.200.2 255.255.255.0

ip address inside 192.168.220.1 255.255.255.0

route outside 0 0 192.168.200.1 1

nat (inside) 1 10.1.2.0 255.255.255.0

global (outside) 1 interface

access-list out extended permit ip any any

access-group out in interface inside

icmp permit any inside

icmp permit any outside

　　switch：

firewall module 8 vlan-group 1 //不配置该语句，防火墙上面的vlan接口不会up

firewall vlan-group 1 3-8

interface vlan 3 //该配置决定防火墙所在的位置

ip address 192.168.200.1 255.255.255.0

no shut

network · 发表于 2008-4-20 12:23:20

65或76上得配置：
firewall multiple-vlan-interfaces
firewall module x vlan-group 1
firewall vlan-group 1 xx-xx
//把vlan xx-xx给关联到fwsm上去

interface vlanxxx
ip add x.x.x.x 255.x.x.x
//vlan xx为交换或路由与fwsm连接得内网

inter gi x/x
switchport access vlan yy
//vlan yy为外网接口，不需要配置ip,只要指定接口就可以。（现在接口gi x/x就是fwsm得外网接口了）

fwsm上得配置：
inter vlan xx(要和上面得vlanxx一致)
nameif inside
ip add z.z.z.z 255.x.x.x
//这个就是fwsm内网的vlan,ip要和上面vlan xx的在同一网段
inter vlan uu
nameif outside
ip add u.u.u.u 255.u.u.u
//fwsm外网的vlan和ip

user_2008 · 发表于 2008-4-25 13:04:33

学习中。。。。。。。。。。。。。。

user_2008 · 发表于 2008-4-25 13:09:07

学习中。。。。。。。。。。。。。。。

network · 发表于 2008-5-24 20:37:18

ＦＷＳＭ透明模式排错

客户2台6509 FWSM模块部署透明模式, 某天突然发生环路广播风暴

Feb 15 22:22:21 10.48.1.202 3813: Feb 15 22:18:32: %STANDBY-3-DUPADDR: Duplicate address 172.18.220.2 on Vlan731, sourced by 0019.a93b.9c00
Feb 16 01:03:22 10.48.1.202 483: Feb 16 01:02:22: %STANDBY-3-DUPADDR: Duplicate address 172.18.220.2 on Vlan731, sourced by 0019.a93b.9c00

检查发现FWSM上BPDU功能未打开.
故障发生时，很可能FWSM处于双活状态，由于FWSM上BPDU功能未打开，产生环路广播风暴。
后在FWSM上配置BPDU forwarding OK

network · 发表于 2008-5-25 14:13:54

FWSM Configuration Guide 3.2 !
http://www.cisco.com/en/US/docs/ ... cs_f.html#wp1052995

network · 发表于 2008-6-4 06:05:32

FWSM配置注解:
FWSM# sh run
: Saved
:
FWSM Version 3.1(3) <system>
!
resource acl-partition 12                                                 //内存分为12个区

hostname FWSM                                                          //主机名称
enable password sdfsadfasdf encrypted       //特权模式密码
interface Vlan300                                                          // vlan300加入FWSM
!
interface Vlan301                                                          // vlan300加入FWSM
description LAN Failover Interface                               //接口描述，此接口为同步接口
interface Vlan302                                                          // vlan300加入FWSM
description STATE Failover Interface                            //接口描述，此接口为状态同步接口

interface Vlan303                                                          // vlan303加入FWSM
!
interface Vlan350                                                          // vlan350加入FWSM
!
interface Vlan351                                                          // vlan351加入FWSM
!
interface Vlan352                                                          // vlan352加入FWSM
!
interface Vlan353                                                          // vlan353加入FWSM
!
interface Vlan354                                                          // vlan354加入FWSM
!
interface Vlan355                                                          // vlan355加入FWSM
!
interface Vlan356                                                          // vlan356加入FWSM
!
interface Vlan357                                                          // vlan357加入FWSM
!
interface Vlan358                                                          // vlan358加入FWSM
!
interface Vlan359                                                          // vlan359加入FWSM
!
interface Vlan360                                                          // vlan360加入FWSM
!
interface Vlan361                                                          // vlan362加入FWSM
!
interface Vlan362                                                          // vlan362加入FWSM
!
!
passwd sadfsadfsdfsafasdfasdf encrypted                   //控制台密码
class default                                                                //默认资源类型
  limit-resource All 0                                                    //所有资源不做限制
  limit-resource IPSec 5                                                       //IPSec会话限制数为5
  limit-resource Mac-addresses 65535                            //mac地址表条目上限为65535
  limit-resource ASDM 5                                              //ASDM管理会话数上限为5
  limit-resource SSH 5                                                 //SSH会话限制数为5
  limit-resource Telnet 5                                              //Telnet会话限制数为5
!

ftp mode passive                                                          //FTP模式为被动模式
pager lines 24                                                             //设置一屏显示行数
failover                                                                      //启动故障恢复
failover lan interface lan Vlan301                                  //故障恢复同步vlan
failover link state Vlan302                                           //状态恢复vlan
failover interface ip lan 10.72.253.9 255.255.255.248 standby 10.72.253.10
//故障恢复同步vlan接口的IP设置
failover interface ip state 10.72.253.17 255.255.255.248 standby 10.72.253.18
//状态同步vlan接口的IP设置
failover group 1                                                          //故障恢复分组一
  secondary                                                                //在副模块上活动
  preempt 1                                                                //故障恢复抢先
failover group 2                                                          //故障恢复分组二
  preempt 1                                                                //故障恢复抢先
arp timeout 14400                                                       //arp条目失效时间
console timeout 0                                                          //控制台超时时间

admin-context admin                                                    //指定实例admin为管理实例
context admin                                                             //进入实例配置模式
  allocate-interface Vlan300                                        //将vlan加入实例
  config-url disk:/admin.cfg                                        //指定配置文件的位置

context 1-bangong                                                       //进入实例配置模式
  allocate-interface Vlan350                                        //将vlan350加入实例
  allocate-interface Vlan360                                        //将vlan360加入实例
  config-url disk:/vf10.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一

context 2-jiankong                                                       //进入实例配置模式
  allocate-interface Vlan351                                        //将vlan351加入实例
  allocate-interface Vlan361                                        //将vlan361加入实例
  config-url disk:/vf11.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一

context 3-caiwu                                                             //进入实例配置模式
  allocate-interface Vlan352                                        //将vlan352加入实例
  allocate-interface Vlan362                                        //将vlan362加入实例
  config-url disk:/vf12.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一

context 4-kaifa                                                             //进入实例配置模式
  allocate-interface Vlan353                                        //将vlan353加入实例
  allocate-interface Vlan363                                        //将vlan363加入实例
  config-url disk:/vf13.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一
!

context 5-kantanyingyong                                              //进入实例配置模式
  allocate-interface Vlan354                                        //将vlan354加入实例
  allocate-interface Vlan364                                        //将vlan36加入实例
  config-url disk:/vf14.cfg                                           //指定配置文件的位置
  join-failover-group 1                                                 //加入故障恢复分组一
!

context 6-kantanshujuku                                                 //进入实例配置模式
  allocate-interface Vlan355                                        //将vlan355加入实例
  allocate-interface Vlan365                                        //将vlan365加入实例
  config-url disk:/vf15.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 7-shengchan进制                                              //进入实例配置模式
  allocate-interface Vlan356                                        //将vlan356加入实例
  allocate-interface Vlan366                                        //将vlan366加入实例
  config-url disk:/vf16.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 8-guanli                                                    //进入实例配置模式
  allocate-interface Vlan357                                        //将vlan357加入实例
  allocate-interface Vlan367                                        //将vlan367加入实例
  config-url disk:/vf17.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 9-jingying                                                 //进入实例配置模式
  allocate-interface Vlan358                                        //将vlan358加入实例
  allocate-interface Vlan368                                        //将vlan368加入实例
  config-url disk:/vf18.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!

context 10-qita                                                 //进入实例配置模式
  allocate-interface Vlan359                                        //将vlan359加入实例
  allocate-interface Vlan369                                        //将vlan369加入实例
  config-url disk:/vf19.cfg                                           //指定配置文件的位置
  join-failover-group 2                                                 //加入故障恢复分组二
!
prompt hostname context                                              //提示符为主机名+实例名
Cryptochecksum:233g23g23t423dsfg34544
: end

FWSM/admin# sh run
FWSM Version 3.1(3) <context>
!
hostname admin                                                          //实例名为admin
domain-name default.domain.invalid                               //缺省域名为default.domain.invalid enable password 2KFQnbNIdI.2KYOU encrypted       //特权模式密码
names                                                                         //启用地址到名称的转换
!
interface Vlan300                                                       //进入接口配置模式
nameif admin                                                             //命名接口
security-level 100                                                       //指定安全级别为100
ip address 10.72.253.1 255.255.255.248 standby 10.72.253.2 //接口的IP配置

!
passwd 2KFQnbNIdI.2KYOU encrypted                         //控制台密码
pager lines 24                                                             //一屏显示24行
logging enable                                                                //启用日志
logging timestamp                                                       //启用日志时间戮
logging standby                                                             //启用备分模块的日志
logging monitor informational                                        //在SSH和Telnet会话中显示日志，日志级别为信息级
logging buffered informational                               //日志保存到缓存，日志级别为信息级
mtu admin 1500                                                          //指定admin接口的MTU
icmp permit 10.72.2.64 255.255.255.192 admin             //允许网络中心的IPMP流量进入
icmp permit 10.72.251.0 255.255.255.0 admin                //允许核心交换机的ICMP流量进入
no asdm history enable                                                 //关闭ASDM历史追踪
arp timeout 14400                                                       //ARP条目失效时间
route admin 0.0.0.0 0.0.0.0 10.72.253.4 1                      //配置管理实例的外出路由，下一跳为交换机的SVI
timeout xlate 3:00:00                                                    //NAT条目失效时间
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
//TCP连接空闲时间为1小时，TCP半关连接空闲时间为10分钟，ICMP空闲时间为2分钟，UDP空闲时间为2分钟
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
//sunrpc slot空闲时间为10分钟， H323控制连接空闲时间为5分钟，H225信令连接空闲时间为1小时，MGCP连接空闲时间为5分钟
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
//mgcp-pat xlate失效时间为5分钟，sip控制连接空闲时间为30分钟，sip media连接空闲时间为2分钟
timeout uauth 0:05:00 absolute
//用户认证信息缓存时间为5分钟，绝对时间

no snmp-server location                                                 //snmp-server位置
no snmp-server contact                                                 //snmp-server联系人
snmp-server enable traps snmp authentication linkup linkdown coldstart
//启用snmp-server发送信息，包括认证，链路状态，冷启动
telnet 10.72.2.64 255.255.255.192 admin                      //允许网络中心远程登录流量
telnet timeout 10                                                          //远程登录会话空闲时间为10秒
ssh timeout 5                                                                //SSH会话失效时间为5秒
!
class-map inspection_default                                           //进入流量类型配置模式
match default-inspection-traffic                                     //匹配流量!
policy-map global_policy                                              //进入安全策略配置模式
class inspection_default                                              //匹配流量类型
  inspect dns maximum-length 512                               //启用dns深度检查
  inspect ftp                                                                //启用ftp深度检查
  inspect h323 h225                                                    //启用h323,h225深度检查
  inspect h323 ras                                                             //启用h323 ras深度检查
  inspect netbios                                                          //启用netbios深度检查
  inspect rsh                                                                //启用rsh深度检查
  inspect skinny                                                          //启用skinny深度检查
  inspect smtp                                                          //启用smtp深度检查
  inspect sqlnet                                                                //启用sqlnet深度检查
  inspect sunrpc                                                       //启用sunrpc深度检查
  inspect tftp                                                             //启用tftp深度检查
  inspect sip                                                             //启用sip深度检查
  inspect xdmcp                                                       //启用xdmcp深度检查
service-policy global_policy global                               //在全局应用安全策略
Cryptochecksum:5558047ed4d32a63671cdd63104fa334
: end

FWSM/1-bangong# sh run
: Saved
:
FWSM Version 3.1(3) <context>
!
hostname 1-bangong                                                    //实例名
enable password 8Ry2YjIyt7RRXU24 encrypted             //特权模式密码
names                                                                         //启用地址名称转换
!
interface Vlan350                                                          //进入接口配置模式
nameif outside                                                             //命名接口
security-level 0                                                          //安全级别为0
ip address 10.72.253.25 255.255.255.248 standby 10.72.253.26
//配置接口IP
interface Vlan360                                                          //进入接口配置模式
nameif inside                                                             //命名接口
security-level 100                                                       //接口安全级别为100
ip address 10.72.253.33 255.255.255.248 standby 10.72.253.34    //配置接口IP地址

passwd 2KFQnbNIdI.2KYOU encrypted                         //控制台密码
same-security-traffic permit inter-interface                //相同安全级别的流量允许通过接口
access-list inside_access_in extended permit icmp any any  //允许ICMP流量进入inside接口

access-list outside_access_in extended permit tcp any 10.72.5.0 255.255.255.240 eq 80
//允许到门户服务器的正常业务流量
access-list outside_access_in extended permit tcp any 10.72.5.0 255.255.255.240 eq 815
//允许到门户服务器的正常业务流量
access-list outside_access_in extended permit ip 10.72.2.64 255.255.255.192 any
//允许管理部门的网络及从核心交换机的流量
access-list outside_access_in extended permit ip 10.72.251.0 255.255.255.0 any
//允许管理部门的网络及从核心交换机的流量
access-list outside_access_in extended permit icmp 10.72.2.64 255.255.255.192 any
/允许管理部门的网络及从核心交换机的ICMP流量
access-list outside_access_in extended permit icmp 10.72.251.0 255.255.255.0 any
//允许管理部门的网络及从核心交换机的ICMP流量

pager lines 24                                                             //一屏显示24行
logging enable                                                                //启用日志
logging timestamp                                                       //启用日志时间戮
logging monitor critical
//在SSH和Telnet会话中显示日志，日志级别为critical
logging buffered critical
//日志保存到缓存，日志级别为critical
mtu inside 1500                                                          //inside接口MTU为1500
mtu outside 1500                                                          // outside接口MTU为1500
monitor-interface inside                                                 //监控inside接口
monitor-interface outside                                              //监控outside接口
icmp permit any inside                                                 //允许ICPM流量进入inside接口
icmp permit any outside                                                 //允许ICPM流量进入outside接口
no asdm history enable                                                 //关闭ASDM历史追踪
arp timeout 14400                                                       //ARP条目失效时间

access-group inside_access_in in interface inside
//inside接口上应用访问列表inside_access_in
access-group outside_access_in in interface outside
// outside接口上应用访问列表outside_access_in
route inside 10.72.5.0 255.255.255.224 10.72.253.37 1          //服务器网络路由指向CSM接口
route outside 0.0.0.0 0.0.0.0 10.72.253.30 1                         //外出路由指向SVI

timeout xlate 3:00:00                                                    //NAT条目失效时间
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
//TCP连接空闲时间为1小时，TCP半关连接空闲时间为10分钟，ICMP空闲时间为2分钟，UDP空闲时间为2分钟
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
//sunrpc slot空闲时间为10分钟， H323控制连接空闲时间为5分钟，H225信令连接空闲时间为1小时，MGCP连接空闲时间为5分钟
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
//mgcp-pat xlate失效时间为5分钟，sip控制连接空闲时间为30分钟，sip media连接空闲时间为2分钟
timeout uauth 0:05:00 absolute
//用户认证信息缓存时间为5分钟，绝对时间

no snmp-server location                                                 //snmp-server位置
no snmp-server contact                                                 //snmp-server联系人
snmp-server enable traps snmp authentication linkup linkdown coldstart
//启用snmp-server发送信息，包括认证，链路状态，冷启动
telnet timeout 5                                                             //远程登录会话空闲时间为5秒
ssh timeout 5                                                                //SSH会话失效时间为5秒
!
class-map inspection_default                                           //进入流量类型配置模式
match default-inspection-traffic                                     //匹配流量
policy-map global_policy                                              //进入安全策略配置模式
class inspection_default                                              //匹配流量类型
  inspect dns maximum-length 512                               //启用dns深度检查
  inspect ftp                                                                //启用ftp深度检查
  inspect h323 h225                                                    //启用h323,h225深度检查
  inspect h323 ras                                                             //启用h323 ras深度检查
  inspect netbios                                                          //启用netbios深度检查
  inspect rsh                                                                //启用rsh深度检查
  inspect skinny                                                          //启用skinny深度检查
  inspect smtp                                                          //启用smtp深度检查
  inspect sqlnet                                                                //启用sqlnet深度检查
  inspect sunrpc                                                       //启用sunrpc深度检查
  inspect tftp                                                             //启用tftp深度检查
  inspect sip                                                             //启用sip深度检查
  inspect xdmcp                                                       //启用xdmcp深度检查
service-policy global_policy global                               //在全局应用安全策略
Cryptochecksum:5558047ed4d32a63671cdd63104fa334
: end

network · 发表于 2008-6-4 06:07:24

CISCO 6509防火墙模块配置

分成两个部分进行配置：

　　Catalyst 6509加模块，可以看成是两个设备的连接，即一个防火墙加一个路由器。

　　FWSM：

nameif vlan3 outside security0

nameif vlan5 inside security100

ip address outside 192.168.200.2 255.255.255.0

ip address inside 192.168.220.1 255.255.255.0

route outside 0 0 192.168.200.1 1

nat (inside) 1 10.1.2.0 255.255.255.0

global (outside) 1 interface

access-list out extended permit ip any any

access-group out in interface inside

icmp permit any inside

icmp permit any outside

　　switch：

firewall module 8 vlan-group 1 //不配置该语句，防火墙上面的vlan接口不会up

firewall vlan-group 1 3-8

interface vlan 3 //该配置决定防火墙所在的位置

ip address 192.168.200.1 255.255.255.0

no shut

network · 发表于 2008-6-4 06:07:39

65或76上得配置：
firewall multiple-vlan-interfaces
firewall module x vlan-group 1
firewall vlan-group 1 xx-xx
//把vlan xx-xx给关联到fwsm上去

interface vlanxxx
ip add x.x.x.x 255.x.x.x
//vlan xx为交换或路由与fwsm连接得内网

inter gi x/x
switchport access vlan yy
//vlan yy为外网接口，不需要配置ip,只要指定接口就可以。（现在接口gi x/x就是fwsm得外网接口了）

fwsm上得配置：
inter vlan xx(要和上面得vlanxx一致)
nameif inside
ip add z.z.z.z 255.x.x.x
//这个就是fwsm内网的vlan,ip要和上面vlan xx的在同一网段
inter vlan uu
nameif outside
ip add u.u.u.u 255.u.u.u
//fwsm外网的vlan和ip

network · 发表于 2008-6-21 06:26:31

2台65的2个FWSM active/active 总结

账号		自动登录	找回密码
密码			注册

Cisco Catalyst 6509交换机FWSM防火墙模块配置资料 大全

2台65的2个FWSM active/active 总结

Cisco Catalyst 6509交换机FWSM防火墙模块配置资料大全