Cisco FWSM 模块简明配置

最新推荐文章于 2025-11-21 12:21:15 发布

原创最新推荐文章于 2025-11-21 12:21:15 发布 · 447 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#cisco #防火墙 #internet #interface #module #tcp

本文详细介绍了Cisco ASA防火墙的基本配置流程，包括VLAN划分、接口配置、路由设置、NAT规则制定等关键步骤，并提供了路由模式与透明模式下的具体配置示例。

ios版本：12.2i
防火墙模块操作系统版本：
路由模式
此主题相关图片如下(图1)：

把vlan 7 和 vlan 9 分别作为内外接口，vlan 8作为DMZ口。
通过vlan 5 与交换机连接
步骤1.把VLAN划分到防火墙模块中
7609(config )#firewall vlan-group 1 7-9
/*把vlan7-9划分到vlan-group 1中
7609(config)#firewall module 3 vlan-group
/*把 vlan-group 1 划分到 module 3中（即防火墙模块，有可能有2块）
步骤2.把SVI口划分到交换机中，如果相应的vlan需要路由的话，如果不需要路由则不需要.
7609(config)#inter vlan
7609(config-if)#ip addr 10.1.3.2 255.255.255.0
/*这样就可以以把vlan 7的流量路由到其他VLAN中了。
步骤3.登陆到防火墙模块
7609#session slot 3 processor 1
/* 3代表防火墙模块
步骤4.选择单context或者多context模式
FWSW(config)#mode single
/* 这里我选择单context模式，多context模式后叙。配置文档开始收，不管单模式还是多模式，配置文件都需要指定，但是后面的配置实例在

单模式下是不需要指定的，明天去验证
步骤5.配置context
/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论
步骤6.在context模式和系统模式下切换
/* 我这里选择是单模式，所以不需要配置。在配置多模式的时候再讨论
步骤7.配置路由或者透明模式
FWSW(config)#no firewall transparent
/* 默认就是路由模式，所以在这里不需要修改/
步骤8.在路由模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#ip addr 10.1.3.1 255.255.255.0
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level
FWSW(config)#inter vlan 8
FWSW(config-if)#ip addr 192.168.1.1 255.255.255.0
FWSW(config-if)#nameif DMZ
FWSW(config-if)#security-level 50
FWSW(config)#inter vlan 9
FWSW(config-if)#ip addr 202.95.15.26 255.255.255.252
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
步骤9.配置路由
FWSW(config)#route 0 0 202.95.15.25
FWSW(config)#route 10.1.1.0 10.1.3.2
FWSW(config)#route 10.1.2.0 10.1.3.2
步骤10.配置NAT#
FWSW(config)#access-list to_internet permit ip 10.1.1.0 255.255.255.0 any
FWSW(config)#access-list to_internet permit ip 10.1.2.0 255.255.255.0 any
FWSW(config)#nat (inside) 1 access-list to_internet
FWSW(config)#global (outside) 1 interface0
FWSW(config)#static (inside,outside) tcp 202.95.15.26 80 192.168.1.2 80
access-list webserver permit tcp any 202.95.15.26 80
access-group webserver in interface outside
交换机配置：
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.0
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 10.1.3.2 255.255.255.0
/*把SVI划到MSFC中，这样就可以就可以路由VLAN之间的流量了
7609(config)#ip route 0.0.0.0 0.0.0.0 10.1.3.1
桥接模式
步骤7.配置路由或者透明模式
FWSW(config)#firewall transparent
步骤8.在透明模式下配置接口
FWSW(config)#inter vlan 7
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif inside
FWSW(config-if)#security-level 100
FWSW(config)#inter bvi 10
FWSW(config)#inter vlan 9
FWSW(config-if)#bridge-group 10
FWSW(config-if)#nameif outside
FWSW(config-if)#security-level 0
FWSW(config)#inter bvi 10
/*前面定义的组
FWSW(config-if)#ip addr 202.15.25.2 255.255.255.0
/*管理IP地址
在定义group的IP地址时候不要把子网划分少于3个IP地址，因为默认防火墙会过滤这个第一个和最后一个IP地址的.
步骤9.配置路由
/*假设对端ip地址是202.15.25.1 group ip为202.15.25.2 MSFC对应IP202.15.25.3
FWSW(config)#route 0 0 202.95.15.1
/*一般不需要访问外部网络
FWSW(config)#route 10.1.1.0 202.95.15.3 FWSW(config)#route 10.1.2.0 202.95.15.3 步骤10.放行相应的流量
交换机配置:
7609(config)#inter vlan 5
7609(config-if)#ip addr 10.1.2.1 255.255.255.023IR
7609(config)#inter vlan 6
7609(config-if)#ip addr 10.1.1.1 255.255.255.0
7609(config)#inter vlan 7
7609(config-if)#ip addr 202.95.15.3 255.255.255.0
7609(config)#ip route 0.0.0.0 0.0.0.0 202.95.15.1