FWSM:Fire Wall Serivces Module,防火墙模块,是CISCO 推出的功能强大的防火墙模块,用以部署在6500系列交换机和7600路由器上面,作为企业核心防火墙。
FWSM卡板功能强大,通过逻辑防火墙来保护网络安全性。
关键词:
Acitve\Standy模式,Active\Active模式
failover
failoverlink ,statelink
context逻辑防火墙
与ASA系列防火墙不同,FWSM卡板不提供任何物理接口,所以对流量的保护是通过逻辑端口来实现,即Vlan,将不同的Vlan接口定义不同的安全级别来达到防火墙的功能。FWSM同样提供了强大的failover功能,用以做热备份。 FWSM卡板性能强大,可以提供上百个逻辑防火墙,不过需要买CISCO的授权,默认每个卡板只支持2个用户虚拟防火墙,20个虚拟防火墙授权大概要8万元,费用还是很高的,但是单价肯定要比ASA低很多。
部署实例:6509E两台,3750G一台。
如图所示,2台6509作为核心主干,2块FWSM卡板做failover模式,受保护网络核心为3750G,通过2路上连到核心主干。
架构:
Vlan211是内部接口,Vlan299是外部接口,用以和6509通信。6509的G3/23口连接3750的端口。注意,防火墙的双链路冗余和3层路由不同,是2层链路上的冗余。所以即使是A\A模式,对于同一个context来说,也不是负载均衡的,只不过如果context很多,可以互相调整主和备,使2台防火墙都工作,如果是A\S模式,则不能。Vlan211和Vlan299之所以都是29位,是因为内部接口需要3个地址,外部接口需要5个地址。为了保证更高的冗余性,外部接口采用HSRP,用以保证外部网关的更高的可靠性(因为有可能6509挂掉)。
配置过程:
大体2个部分,6509外的和6509内的(防火墙模块)
6509外的配置:
在6509上面配置需要的逻辑接口Vlan,注意:防火内部的Vlan也是在外面定义的,而并不是在防火墙里面定义。
Router(config)# firewall vlan-group firewall_group vlan_range #将需要划分进入防火墙的vlan划入不同的group,IOS支持16个group,如果context少,可以都划分到一个group中,也可以分类别划分group。
Router(config)# firewall module module_number vlan-group firewall_group #将vlan-group添加进防火墙模块中,这里的module_number是你防火墙卡板的槽位,比如我的防火墙卡板在第2槽,则module_number 就是 2。注意,每次添加Vlan进入vlan-group的时候,都要在之后调用此命令,否则新增加的vlan不会划分进入防火墙内。
将Vlan211和Vlan299划分进入防火墙后外部配置基本完成。
6509内的配置(防火墙)
6509#session slot 2 processor 1 #通过这个命令进入防火墙内,slot2 为你防火墙的槽位
FWSM(config)# no firewall transparent #将防火墙设置为网络模式。
FWSM(config)# mode multiple #将防火墙设置为multiple模式,用以支持A\A模式。此命令之后要重新启动防火墙卡板。
定义在A/A模式下的failover
主防火墙配置(图中6509I)
FWSM(config)# failover lan unit primary #定义此卡板为主
FWSM(config)# failover lan interface failoverlink vlan 900 #定义failoverlik vlan 为900,此failoverlink是用来同步一些failover信息,如hello包等。
FWSM(config)# failover interface ip failoverlink 10.75.0.1 255.255.254 standby 10.75.0.2 #定义failoverlink的ip,注意要求主和备必须是同一个网段内。
FWSM(config)# failover link statelink vlan 901 #定义statelink,用以同步数据,也可以不定义,则同步的数据是通过failoverlink。
FWSM(config)# failover interface ip statelink 10.75.0.5 255.255.255.254 standby 10.75.0.6 #定义statelink的主和备。
FWSM(config)# failover group 1 #进入group 1
FWSM(config-fover-group)# primary #将group 1 设置设置为主
FWSM(config)# failover group 2 #进入group 2
FWSM(config-fover-group)# secondary #将group 2 设置为备
FWSM(config)# context BJ-Security #创建逻辑防火墙BJ
FWSM(config-ctx)# join-failover-group 1 #将此防火墙加入group 1
FWSM(config)#failover #启用failover
备防火墙配置(图中6509II)
FWSM(config)# failover lan unit secondary #定义此卡板为备
FWSM(config)# failover lan interface failoverlink vlan 900
FWSM(config)# failover interface ip failoverlink 10.75.0.1 255.255.254 standby 10.75.0.2
FWSM(config)#failover
至此防火墙的failover 模式配置ok,下一步进入逻辑防火墙配置。
FWSM(config)# context BJ #定义BJ
FWSM(config-ctx)# allocate-interface vlan 211 299 #将vlan211 299划入此逻辑防火墙
FWSM# changeto context BJ #进入逻辑防火墙 BJ
之后就是和ASA防火墙一样了,定义访问控制,策略,NAT等等。
