注册 登录  
 加关注
查看详情
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

CCIE那点事-李萧明

博客已转移到www.jdccie.com CCIE那点事敬请期待

 
 
 

日志

 
 

FWSM 配置  

2011-03-28 23:27:00|  分类: 施工经验 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |
防火墙透明模式配置

防火墙的透明模式
特性介绍:从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。
进入透明模式 Firewall(config)# firewall transparent
(show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件)
配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样,
same-security-traffic permit inter-interface命令可以免除此限制。  
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route  if_name  foreign_network    foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable    [flood | no-flood]
端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name


6509的FWMS模块配置

6509的FWMS模块配置

我的6509 fwsm笔记
http://bbs.tech-ccie.com/viewthread.php?tid=4910

基于PIX6.0,支持100个VLAN,和switch通过6G的etherchannel连接,802.1q封装。

未配置的VLAN都作为inside处理,它们之间的通信不经过FWSM。
外发的包到达高安全级端口,要经过NAT修改源地址后流向低安全级端口;流入的包要先经过检查,修改目标地址后转发到受保护端口

FWSM可以在MSFC前,也可以在MSFC后

3个配置例子
1

OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程

· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
FWSM is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o FWSM(config)#nameif 10 outside 0
o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0
o FWSM(config)#nameif 20 inside 100
o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the FWSM.
o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o FWSM(config)#nat (inside) 1 0 0
o FWSM(config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list "outside-acl" to the outside interface as follows:
o FWSM(config)#access-group outside-acl in interface outside

2

OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于:
FWSM通过vlan10连接外部,所以65连接外部的g8/1要属于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用静态路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
FWSM使用静态路由以便使外部数据可以进入内部
o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2


3

DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的计算机连接端口要设成switchport以便FWSM可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o FWSM(config)#nameif 60 dmz1 60
o FWSM(config)#nameif 50 dmz2 50
o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0
o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o FWSM(config)#global (outside) 2 206.10.10.60
o FWSM(config)#global (dmz2) 2 10.50.50.200
o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o FWSM(config)#global (outside) 3 206.10.10.50
o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有关acl
o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www
o FWSM(config)#access-list web permit tcp any host 206.10.16509的FWMS模块配置

6509的FWMS模块配置

我的6509 fwsm笔记
http://bbs.tech-ccie.com/viewthread.php?tid=4910

基于PIX6.0,支持100个VLAN,和switch通过6G的etherchannel连接,802.1q封装。

未配置的VLAN都作为inside处理,它们之间的通信不经过FWSM。
外发的包到达高安全级端口,要经过NAT修改源地址后流向低安全级端口;流入的包要先经过检查,修改目标地址后转发到受保护端口

FWSM可以在MSFC前,也可以在MSFC后

3个配置例子
1

OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程

· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
FWSM is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o FWSM(config)#nameif 10 outside 0
o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0
o FWSM(config)#nameif 20 inside 100
o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the FWSM.
o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o FWSM(config)#nat (inside) 1 0 0
o FWSM(config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list "outside-acl" to the outside interface as follows:
o FWSM(config)#access-group outside-acl in interface outside

2

OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于:
FWSM通过vlan10连接外部,所以65连接外部的g8/1要属于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用静态路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
FWSM使用静态路由以便使外部数据可以进入内部
o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2


3

DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的计算机连接端口要设成switchport以便FWSM可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o FWSM(config)#nameif 60 dmz1 60
o FWSM(config)#nameif 50 dmz2 50
o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0
o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o FWSM(config)#global (outside) 2 206.10.10.60
o FWSM(config)#global (dmz2) 2 10.50.50.200
o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o FWSM(config)#global (outside) 3 206.10.10.50
o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有关acl
o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www
o FWSM(config)#access-list web permit tcp any host 206.10.1HSRP 和 GLBP的比较

小弟最近在改造公司的网络,三台6509,其中两台上面配置了FWSM和IDS模块,另外一块没有,三台6509放置在两个机房,主机房为一台有FWSM和IDS模块的6509和一台没有FWSM和IDS模块的6509,备份机房放置一台配置了FWSM和IDS模块的6509。
小弟网络中有若干VLAN需要透传于这三台6509之间,请教是否可以使用GLBP协议?
GLBP协议和HSRP协议各自具备哪些优劣特性。

2007-3-9 14:34

链路冗余:HSRP/SLB/VRRP/GLBP简单理解

一、HSRP介绍及相关配置

1)HSRP介绍
全称Hot Standby Routing Protocol,原理比较简单,类似于服务器HA群集,
两台或更多的路由器以同样的方式配置成Cluster,创建出单个的虚拟路由器,
然后客户端将网关指向该虚拟路由器。
最后由HSRP决定哪个路由器扮演真正的默认网关。

具体说,HRSP用于在源主机无法动态地学习到网关IP地址的情况下防止默认路由的失败。
它主要用于多接入,多播和广播局域网(例如以太网)。

2)相关技术介绍
局域网中,在主网关失效瘫痪的情况下,如何找到备份网关,主要有以下几种办法:

proxy ARP
IRDP
动态路由
HSRP

Proxy ARP
支持Proxy ARP 的计算机无论与本网段的计算机还是不同网段的计算机进入通讯都发送ARP广播以寻找与目的地址相对应的MAC地址,
这时,知道目的地址的路由器会响应ARP的请求,并将自己的MAC地址广播给源计算机,
然后源计算机就将IP数据包发给该路由器,并由路由器最终将数据包发送到目的。

ARP代理的主要缺点是切换时间长,如果主网关正在传输数据时失效,客户机仍然会继续发包,导致传输中断,
只有再另外发送Proxy ARP请求或重新启动之后才能找到备用网关以进行传输。

IRDP
支持IRDP的客户机会监听主网关发出的“Hello”的多点广播信息包,
如果该计算机不再收到“Hello”信息时,它就会利用备份路由器进行数据传输。

动态路由
如果使用动态路由来实现网关切换,则存在收敛过慢和内存占用的问题。

HRSP
自动切换

3)HRSP原理
需要注意的是,Cluster里的每个成员路由器仍然是标准的路由器,
客户端仍然可以将成员路由器配置成其默认网关。

在Cisco路由器中,最多可以配置256个HSRP组,
因为HSRP能够使用的MAC地址类似于:0000.0c07.ac**。

HRSP每隔3秒发送hello包,包括group ID,HSRP group和优先级(默认为100)。
路由器彼此之间依据优先级,确定优先级最高的路由器是活动路由器。
如果优先级相同,在IP地址高的成为活动路由器。

在HRSP组中,只允许同时存在一个活动路由器,其他路由器都处于备用状态,
备用路由器不转发数据包。

如果备用路由器持续不断地收到活动路由器发来的hello包,
则其会一直处于备用状态。
一旦备用路由器在规定的时间内(Hold Time,默认10秒)没有收到hello包,,
则认为活动路由器失效,
优先级最高的备用路由器就接替活动路由器的角色,开始转发数据包。

4)HRSP preempt技术
HRSP技术能够保证优先级高的路由器失效恢复后总能处于活动状态。

活动路由器失效后,优先级最高的备用路由器处于活动状态,
如果没有使用preempt技术,
则当活动路由器恢复后,只能处于备用状态,
先前的备用服务器代替其角色处于活动状态,直到下一次选举发生。

5)HRSP track技术
如果所监测的端口出现故障,则也可以进行路由器的切换。

如果主路由器上有多条线路被跟踪,
则当一条线路出现故障时,就会切换到备份路由器上,即使其他都线路正常工作,
直到主路由器该线路正常工作,才能重新切换回来。

该功能在实际应用中完全可以由线路备份功能实现。

6)HRSP配置
routerA#conf t
routerA(config)#int e0
routerA(config)#standby ip 172.16.1.254
routerA(config)#standby preempt
routerA(config)#standby track serial 0
routerA(config)#exit
routerA#


二、SLB介绍及相关配置

1)SLB介绍
全称Server Load Balancing,可以看作HSRP的扩展,实现多个服务器之间的复杂均衡。

虚拟服务器代表的是多个真实服务器的群集,
客户端向虚拟服务器发起连接时,通过某种复杂均衡算法,转发到某真实服务器。

负载均衡算法有两种:
Weighted round robin(WRR)和Weighted least connections(WLC),
WRR使用加权轮询算法分配连接,WLC通过一定的权值,将下一个连接分配给活动连接数少的服务器。

2)SLB配置
配置分为两部分,
第一部分是使用slb serverfarm serverfarm_name命令定义SLB选项,包括指定真实服务器地址;
第二部分是使用ip slb vserver virtual_server-name来指定虚拟服务器地址。

router#config t
router(config)#ip slb serverfarm email
router(config-slb-sfarm)#real 192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real 192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ip slb vserver vserver_one
router(config-slb-vserver)#vitual 10.1.1.1 tcp 25
router(config-slb-vserver)#serverfarm email
router(config-slb-vserver)#inservice
router(config-slb-vserver)#exit
router(config)#exit
router#

三、VRRP介绍

全称Virtual Router Redundancy Protocol,和HSRP类似,
只是HSRP是Cisco专有的协议,只应用在Cisco设备上。
VRRP符合Internet标准,定义见RFC2338,是不同厂家之间共同遵循的标准。
VRRP负责从VRRP路由器组中选择一个作为Master,
然后客户端使用虚拟路由器地址作为其默认网关。
配置例子见:http://www.2umm.com/xxlr1.asp?id=6134

四、GLBP介绍及配置

1)GLBP介绍
全称Gateway Load Banancing Protocol,
和HRSP、VRRP不同的是,GLBP不仅提供冗余网关,还在各网关之间提供负载均衡,
而HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态。

和HRSP不同的是,GLBP可以绑定多个MAC地址到虚拟IP,
从而允许客户端选择不同的路由器作为其默认网关,而网关地址仍使用相同的虚拟IP,
从而实现一定的冗余。

2)活动网关选举
使用类似于HRSP的机制选举活动网关,
优先级最高的路由器成为活动落由器,称作Acitve Virtual Gateway,其他非AVG提供冗余。

某路由器被推举为AVG后,和HRSP不同的工作开始了,AVG分配虚拟的MAC地址给其他GLBP组成员。
所有的GLBP组中的路由器都转发包,
但是各路由器只负责转发与自己的虚拟MAC地址的相关的数据包。

3)地址分配
每个GLBP组中最多有4个虚拟MAC地址,非AVG路由器有AVG按序分配虚拟MAC地址,
非AVG也被称作Active Virtual Forwarder(AVF)。

AVF分为两类:Primary Virtual Forwarder和Secondary Virtual Forwarder。
直接由AVG分配虚拟MAC地址的路由器被称作Primary Virtual Forwarder,
后续不知道AVG真实IP地址的组成员,只能使用hellos包来识别其身份,然后被分配虚拟MAC地址,此类被称作Secondary Virtual Forwarder。

4)GLBP配置
如果AVG失效,则推举就会发生,决定哪个AVF替代AVG来分配MAC地址,推举机制依赖于优先级。
最多可以配置1024个GLBP组,不同的用户组可以配置成使用不同的组AVG来作为其网关。

router#conf t
router(config)#int fastethernet 0/0
router(config-if)#ip address 10.1.1.1
router(config-if)#glbp 99 ip 10.1.1.254
router(config-if)#glbp 99 priority 105
router(config-if)#glbp 99 preempt delay 10
router(config-if)#glbp 99 weighting track int s0 10
router(config-if)#exit
router(config)#^Z
  评论这张
 
阅读(14)| 评论(0)
推荐 转载

历史上的今天

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2018