FWSM:Fire Wall Serivces Module,防火牆模塊,是CISCO 推出的功能強大的防火牆模塊,用以部署在6500系列交換機和7600路由器上面,作爲企業核心防火牆。
FWSM卡板功能強大,通過邏輯防火牆來保護網絡安全性。
關鍵詞:
Acitve\Standy模式,Active\Active模式
failover
failoverlink ,statelink
context邏輯防火牆
與ASA系列防火牆不同,FWSM卡板不提供任何物理接口,所以對流量的保護是通過邏輯端口來實現,即Vlan,將不同的Vlan接口定義不同的安全級別來達到防火牆的功能。FWSM同樣提供了強大的failover功能,用以做熱備份。 FWSM卡板性能強大,可以提供上百個邏輯防火牆,不過需要買CISCO的授權,默認每個卡板只支持2個用戶虛擬防火牆,20個虛擬防火牆授權大概要8萬元,費用還是很高的,但是單價肯定要比ASA低很多。
部署實例:6509E兩臺,3750G一臺。
如圖所示,2臺6509作爲核心主幹,2塊FWSM卡板做failover模式,受保護網絡核心爲3750G,通過2路上連到核心主幹。
架構:
Vlan211是內部接口,Vlan299是外部接口,用以和6509通信。6509的G3/23口連接3750的端口。注意,防火牆的雙鏈路冗餘和3層路由不同,是2層鏈路上的冗餘。所以即使是A\A模式,對於同一個context來說,也不是負載均衡的,只不過如果context很多,可以互相調整主和備,使2臺防火牆都工作,如果是A\S模式,則不能。Vlan211和Vlan299之所以都是29位,是因爲內部接口需要3個地址,外部接口需要5個地址。爲了保證更高的冗餘性,外部接口採用HSRP,用以保證外部網關的更高的可靠性(因爲有可能6509掛掉)。
配置過程:
大體2個部分,6509外的和6509內的(防火牆模塊)
6509外的配置:
在6509上面配置需要的邏輯接口Vlan,注意:防火內部的Vlan也是在外面定義的,而並不是在防火牆裏面定義。
Router(config)# firewall vlan-group firewall_group vlan_range #將需要劃分進入防火牆的vlan劃入不同的group,IOS支持16個group,如果context少,可以都劃分到一個group中,也可以分類別劃分group。
Router(config)# firewall module module_number vlan-group firewall_group #將vlan-group添加進防火牆模塊中,這裏的module_number是你防火牆卡板的槽位,比如我的防火牆卡板在第2槽,則module_number 就是 2。注意,每次添加Vlan進入vlan-group的時候,都要在之後調用此命令,否則新增加的vlan不會劃分進入防火牆內。
將Vlan211和Vlan299劃分進入防火牆後外部配置基本完成。
6509內的配置(防火牆)
6509#session slot 2 processor 1 #通過這個命令進入防火牆內,slot2 爲你防火牆的槽位
FWSM(config)# no firewall transparent #將防火牆設置爲網絡模式。
FWSM(config)# mode multiple #將防火牆設置爲multiple模式,用以支持A\A模式。此命令之後要重新啓動防火牆卡板。
定義在A/A模式下的failover
主防火牆配置(圖中6509I)
FWSM(config)# failover lan unit primary #定義此卡板爲主
FWSM(config)# failover lan interface failoverlink vlan 900 #定義failoverlik vlan 爲900,此failoverlink是用來同步一些failover信息,如hello包等。
FWSM(config)# failover interface ip failoverlink 10.75.0.1 255.255.254 standby 10.75.0.2 #定義failoverlink的ip,注意要求主和備必須是同一個網段內。
FWSM(config)# failover link statelink vlan 901 #定義statelink,用以同步數據,也可以不定義,則同步的數據是通過failoverlink。
FWSM(config)# failover interface ip statelink 10.75.0.5 255.255.255.254 standby 10.75.0.6 #定義statelink的主和備。
FWSM(config)# failover group 1 #進入group 1
FWSM(config-fover-group)# primary #將group 1 設置設置爲主
FWSM(config)# failover group 2 #進入group 2
FWSM(config-fover-group)# secondary #將group 2 設置爲備
FWSM(config)# context BJ-Security #創建邏輯防火牆BJ
FWSM(config-ctx)# join-failover-group 1 #將此防火牆加入group 1
FWSM(config)#failover #啓用failover
備防火牆配置(圖中6509II)
FWSM(config)# failover lan unit secondary #定義此卡板爲備
FWSM(config)# failover lan interface failoverlink vlan 900
FWSM(config)# failover interface ip failoverlink 10.75.0.1 255.255.254 standby 10.75.0.2
FWSM(config)#failover
至此防火牆的failover 模式配置ok,下一步進入邏輯防火牆配置。
FWSM(config)# context BJ #定義BJ
FWSM(config-ctx)# allocate-interface vlan 211 299 #將vlan211 299劃入此邏輯防火牆
FWSM# changeto context BJ #進入邏輯防火牆 BJ
之後就是和ASA防火牆一樣了,定義訪問控制,策略,NAT等等。