Cisco Catalyst 6509交换机FWSM防火墙模块配置资料 大全
Cisco Catalyst 6509交换机FWSM防火墙模块配置资料 大全
融合之美 尽在“墙”中
——Cisco Catalyst 6509交换机FWSM防火墙模块测试报告 我们以往接触比较多的防火墙大都是单独的设备产品,抑或是与路由器集成在一起的模块, 这种防火墙往往是位于网关位置,担当了内外网之间的防护线职能。而思科系统公司充分利用自己对网络的理解,以一种不同的理念和思路把安全贯彻到了网络上的每一个角落。当我们《网络世界》评测实验室拿到插入FWSM防火墙模块的被测设备Catalyst 6509交换机时,更是深刻地体会到了Cisco这种独特的视角。
集成:改变防火墙角色 从外观上看,不同于以往的防火墙,FWSM防火墙模块本身并不带有任何端口,可以插在Catalyst 6509交换机任何一个交换槽位中,交换机的任何端口都能够充当防火墙端口,一个FWSM模块可以服务于交换机所有端口,在网络基础设施之中集成状态防火墙安全特性。 由于70%的安全问题来自企业网络内部,因此企业网络的安全不仅在周边,防止未经授权的用户进入企业网络的子网和VLAN是我们一直忽视的问题,也正是6509交换机加上FWSM防火墙模块要完成的职责。 Catalyst 6509作为企业的汇聚或核心交换机,往往要为企业的不同部门划分子网和VLAN,FWSM模块的加入为不同部门之间搭建了坚实的屏障。 与传统防火墙的体系结构不同,FWSM内部体系主要由一个 双 Intel PIII处理器和3个IBM网络处理器以及相应的ASIC芯片组成。其中两个网络处理器各有三条千兆线路连接到6509的背板上。FWSM使用的是Cisco PIX操作系统这一实时、牢固的嵌入式操作系统,采用基于ASA(自适应安全算法)的核心实现机制,继承了思科PIX防火墙性能与功能方面的既有优势。 对于已经购买了Catalyst 6509交换机的用户来说,它们不需要对原有产品进行更换,就可以通过单独购买FWSM模块,获得这种防火墙特性,在简化网络结构的同时,真正实现对用户的投资保护。
功能:细致到每一处 从FWSM防火墙模块的管理和易用性来看,对于那些很熟悉Cisco IOS命令行的工程师来说,通过Console或Telnet进行配置很容易上手,而对于笔者这种对Cisco 命令仅略通一二的人来说,最好的管理和配置方式莫过于用Web进行管理,Web管理其实是调用了用来管理PIX防火墙的PIX Device Manager(PDM)2.1(1)工具,非常直观地帮助用户进行规则配置、管理和状态监控。进行Web管理的安全通过HTTP+SSL(HTTPS)来进行保障。
网络特性方面,我们需要提及的是由于与交换机集成,所以FWSM模块拥有很多独特之处,包括可以支持各种百兆和千兆以太网接口,进而拥有了Catalyst 6509交换机的可扩展性,支持静态路由和RIP、OSPF动态路由协议,可以作ARP代理和DHCP服务器。在规则设定中支持基于VLAN设定安全区域,对每个VLAN实施安全策略。
在高可用性方面,不仅在Catalyst 6509上插的两个防火墙模块之间可以实现冗余备份,两台Catalyst 6509交换机之间可以通过LAN进行故障恢复。据思科工程师介绍,6509最多可以插入4个FWSM防火墙模块,这四个模块绑在一起可以提供的吞吐量是单个防火墙模块的4倍。
对于访问FWSM防火墙模块的用户,思科考虑的非常细心的一个特点是通过PDM可以对CLI命令设置优先级,分为15个级别,创建与这些优先级对应的用户账号或登录环境,以更细的粒度对访问者进行管理。
NAT是防火墙的必要特性,FWSM模块不仅对动态和静态NAT提供了良好支持,而且还支持基于端口的PAT(端口地址转换)。 在使用PDM时,可通过组合网络对象、服务、协议或端口成为组进行管理和规则配置,最多支持128K ACL设置。
对日志的支持程度是防火墙功能是否完备的重要标志。FWSM不仅支持将日志记录到防火墙中,并对所用缓冲区进行限制,还支持用Syslog 服务器记录日志,将日志警告分为8个级别进行限制。 FWSM防火墙模块能够支持H.323、SIP等VoIP相关协议。 PDM提供的状态监控功能非常强大,可以按照图形或表格形式非常直观地显示CPU、内存利用率以及进出防火墙的数据包状态等详细信息。 易于查找的帮助信息也是思科为用户考虑的周到之处,用户通过Web界面可以非常容易得到相关信息。 性能:多流环境上佳表现 传统防火墙往往会成为网络上的瓶颈,因此性能是用户相当关心的问题。通过此次测试(请见表中数据),我们可以看到出众的性能是FWSM与Catalyst 6500紧密集成所带来的结果,交换机的优异性能表现在启动防火墙后同样得到了良好的体现。 去年我们曾经作过千兆防火墙公开比较评测,当时测试环境是在两条流条件下进行的,成绩最好的千兆防火墙在64字节帧长下吞吐量达到59%线速。此次测试我们选用两个1000Base-SX分别作内、外网口,采用20条UDP流并存的条件下,测试结果64、512、1518三种帧长下吞吐量为85.19%、100%、100%,显然,与以往我们曾经测试过的结果相比,吞吐量性能更为出色。 而且,我们还发现由于配置为按照目的端口进行负载均衡,在防火墙上使用show conn命令可以实时观察到网络处理器之间确实对所承担的Session进行了分担。 帧丢失率和延迟的测试结果更是让人眼前一亮,三种帧长下的结果为6.29%、0、0。在吞吐量的条件下测试的延迟结果也均在90祍以下。 衡量防火墙性能的一个更有标志性的指标“最大TCP/HTTP并发连接数”结果为942802,完全可以满足大型企业级用户的需求。
性能测试结果 |
帧长 |
64字节 |
512字节 |
1518字节 |
吞吐量 |
85.19% |
100% |
100% |
帧丢失率 |
6.29% |
0 |
0 |
延迟(μs) |
80.88 |
48.86 |
81.29 |
最大并发连接数 |
942802 我们可以看到防火墙与交换机的结合在提升企业网络内部安全性的同时对网络性能的影响并不大,让用户可以真正体验到安全与性能的完美结合。 传统防火墙处于网关位置,往往会结合入侵检测或VPN功能,是各种功能的综合体。而思科Catalyst 6500系列FWSM模块的防火墙特性更为突出,不但可以单独工作,还可以与部署在同一台6500交换机箱中独立的入侵检测模块、VPN模块和SSL加密模块密切协作,各司其职,这也显示了细化分工的趋势,使企业可以按照更为清晰的架构搭建多层次的安全网络。 测试方法 在性能测试中,我们使用了由思傅伦通信公司提供的SmartBits 6000B测试仪。我们在测试中使用的测试软件为SmartFlow 1.50和WebSuite Firewall 1.10。使用1000Base-X SmartMetrics模块的两个1000Base-SX GBIC,通过光纤将其分别与被测设备的两个千兆端口直连。测试环境如图所示。
|
在测试中,我们将Catalyst 6509交换机配置为类似于一台防火墙和一个路由器串联,防火墙配置为内、外网全通,交换机配置为根据目的端口进行负载均衡。 我们用SmartFlow完成了吞吐量、延迟和帧丢失率的测试,双向设置20个流(每个方向各有10个流),测试时间为120秒。 每个方向的10个流中源MAC/IP/端口相同,目的MAC/IP相同,目的端口不同。其中吞吐量测试中允许的帧丢失率为0,延迟测试是在吞吐量的条件下完成的。测试过程选用了64、512、1518字节三种帧长。 我们用WebSuite Firewall 完成了最大并发连接数的测试,测试速率为4000个连接/秒。每项测试我们都进行三遍,最终取平均值作最后结果。 被测的Catalyst 6509交换机控制引擎配置为SUP2/MSFC2,IOS版本为12.1(13)E5,FWSM 软件版本为1.1(2),PDM版本为2.1(1)。
Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的防火墙服务模块(1)
阅读提示:防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。 Q. 什么是防火墙服务模块?
A. 防火墙服务模块(FWSM)是一个Catalyst 6500系列多千兆位防火墙模块。FWSM是一种支持交换矩阵的模块,可以与总线和交换矩阵进行交互。FWSM可以在Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器中提供状态防火墙功能。
Q. FWSM主要具有哪些特性?
A. FWSM的主要特性包括:
· 高性能,OC-48 或者 5 Gbps 吞吐量,全双工防火墙功能
· 具有整个PIX 6.0软件功能集和PIX 6.2的下列特性:
o 命令授权
o 对象组合
o ILS/NetMeeting修正
o URL过滤改进
· 3M pps 吞吐量
· 支持100个VLAN
· 一百万个并发连接
· LAN故障恢复:主从备份模式,设备内部/设备之间
· 利用OSPF/RIP进行动态路由
· 每个机箱支持多个模块
Q. 防火墙服务模块(FWSM)和Cisco PIX防火墙之间有何不同?
A. FWSM是Cisco Catalyst 6500系列交换机和Cisco 7600系列互联网路由器的一种集成模块--与独立的Cisco PIX防火墙不同。
FWSM建立在Cisco PIX技术的基础之上。 Q. FWSM运行的是什么操作系统?
A. FWSM和Cisco PIX防火墙运行的操作系统都是实时操作系统Finesse。Finesse是一种真正的微核系统,能够提供可重复使用的软件、便于移植的源代码,并可以提高产品质量,减少测试次数,缩短产品上市时间,提高投资回报。 Q. FWSM用什么机制检测流量?
A. FWSM使用与Cisco PIX防火墙相同的检测算法:自适应安全算法(ASA)。ASA是一种状态检测引擎,可以检测流量的完整性。ASA可以使用源和目的地的地址和端口、TCP序列号,以及其他TCP标志,散列IP报头信息。散列的作用相当于指纹,即创建一个独特的代码,表明建立输入或者输出连接的客户端的身份。
如需查看更多的ASA文档,请接入:
Q. Cisco PIX防火墙和PWSM的特性有何区别?
A. FWSM支持Cisco PIX防火墙6.0版本的所有功能和6.2版本的某些功能。下表列出了它们的主要区别。如需查看这些区别的详细说明,请参阅"Cisco PIX 与防火墙模块的区别"文档。[提供该文档的URL][应当链接到防火墙网页]
特性 FSM Cisco PIX 性能 5 Gb 1.7 Gb VLAN标签 有 无 路由 动态 静态 故障恢复使用许可 不需要 需要 VPN 功能 无 有 IDS 签名 无 有 最大接口数 100 10 输入控制列表(ACL)支持 128000 2M Q. FWSM的性能如何?
A. 总性能约为5Gbps。FWSM可以每秒支持一百万个并发连接,并且每秒可以建立超过10万个连接。
Q. 装有FWSM的Catalyst 6500主要部署在什么地方?
A. 装有FWSM的Cisco Catalyst 6500 系列可以提供目前性能最高的防火墙功能--它能够让企业将多种关键任务型防火墙功能整合到一个设备之中,从而减少分散的防火墙的个数,简化对多个防火墙的管理。FWSM主要部署在企业园区的边缘和分布点。 Q. FWSM所能支持的最低的软件版本是多少?
A. 最低的IOS软件版本是12.1(13)E,而综合CatOS的最低版本是7.5(1)。 Q. FWSM支持交换矩阵吗?
A. 是的,FWSM支持交换矩阵。它具有一条与总线的连接和一条与交换矩阵的连接。 Q. FWSM是否利用热备份路由协议(HSRP)实现冗余?
A. 不是。主FWSM和冗余FWSM都使用与Cisco PIX防火墙相同的协议交换逻辑更新和状态信息。 Q. 怎样将流量发送给FWSM?该模块是否具有外部端口?
A. FWSM上没有外部端口。系统会给FWSM分配一些传输流量的VLAN,这些VLAN上的流量将获得防火墙的保护。 Q. FWSM是否支持冗余?
A. FCS可以提供状态防火墙故障恢复。FWSM采用了独特的设计,可以结合PIX状态故障恢复功能。FWSM模块可以安装在同一个或者另外一个Catalyst 6500系列交换机中。 Q. FWSM是否支持路由协议?
A. 是的,它支持开放最短路径优先(OSPF)和路由信息协议(RIP)。 Q. 在订购FWSM时,我应当使用什么产品编号?
A. FWSM的产品编号为: 产品编号 说明 WS-SVC-FWM-1-K9 用于Cisco Catalyst 6500的防火墙服务模块 WS-SVC-FWM-1-K9= 用于Cisco Catalyst 6500的防火墙服务模块(备件) SC-SVC-FWM-1.1-K9 用于Catalyst 6500的防火墙模块软件 SC-SVC-FWM-1.1-K9= 用于Catalyst 6500的防火墙模块软件(备件) Q. FWSM是否具有使用许可选项?
A. 没有,该模块没有任何受限的和不受限的使用许可选项。 Q. FWSM使用的是什么三重数据加密标准(3DES)软件?
A. FWSM上的加密功能只能用于网络管理。您不能用该模块上的3DES软件进行远程接入或者站点间隧道端接。 Q. 模块软件是否内置3DES软件,我是否需要单独订购该软件?
A. 3DES 与软件镜像捆绑提供。您不需要单独订购该软件。 Q. 机载闪存和DRAM内存有多大,我能否升级DRAM?
A. FWSM的闪存为128MB,DRAM内存为1GB。内存无法现场升级。 Q. FWSM获得了什么认证?
A. 我们将在2002日历年度的第四季度之前获得ICSA认证。 Q. 我是否可以在FWSM上连接远程虚拟专用网(VPN)用户?
A. 不行,FWSM不能提供VPN功能。 Q. 我是否可以在同一个机箱中安装多个模块?
A. 可以,每个机箱最多可以安装四个模块。 Q. FWSM是否支持组播功能?
A. 最初的版本不能支持组播功能,但是组播支持将在未来的版本中提供。 Q. 我是否可以在同一个设备中安装和运行FWSM和IPSec VPN加速模块?
A. 不能。最初版本的IOS镜像不能互相兼容,因而不能将这两个模块安装在同一个设备中。 Q. FWSM是否支持IDSM入侵检测模块?
A. 防火墙服务模块和IDS模块可以共存于同一个设备中。由于IDS模块是一个从设备,所以获得防火墙保护的VLAN也可以拓展到IDS模块,进行入侵检测。 Q. FWSM是否可以提供拒绝服务/DDoS检测和管理功能?
A. 可以。FWSM可以根据协议或者地址设置阀值、日志和配置。 Q. FWSM可以发现哪些拒绝服务攻击?
A. 它可以发现下列攻击:
o ICMP Flood
o UDP Flood
o Ping of Death
o IP Spoofing
o IP源路由选项 Q. FWSM是否支持IP源路由过滤功能?
A. IP源路由过滤功能由IOS提供。 Q. FWSM是否可以支持URL/HTTP过滤?
A. 是的,需要通过像Websense这样的Web过滤工具。 Q. FWSM缺省的安全设置是什么?
A. FWSM会拒绝所有方向上的所有分组,包括来自于管理接口的探测流量。 Q. FWSM是否可以提供高可用性的主/主备份支持?
A. FWSM 目前可以提供主/从备份支持。主/主备份支持目前正在研究之中。 Q. FWSM的主/从冗余功能是否可以提供无缝的故障恢复?
A. 可以。 Q. FWSM是否支持流量整型?
A. FWSM可以通过Catalyst 6500线卡支持流量整型,这种线卡可以为FWSM提供VLAN接口。 Q. FWSM是否支持QoS机制和速率限制?
A. 可以,它支持Catalyst 6500的所有QoS功能。 Q. FWSMD是否支持安全的带外管理?
A. 可以,通过管理VLAN上的IPSec。 Q. FWSM是否支持Traceroute和ping?
A. 如果获得明确许可就可以支持。缺省状态下不支持。 Q. 应当用什么应用配置FWSM和监控系统日志流量?
A. 在最初的版本中,用户可以通过CLI 和Cisco PIX设备管理器(PDM)管理FWSM。PDM可以通过基于向导的菜单帮助用户进行防火墙配置。
防火墙透明模式配置
防火墙的透明模式 特性介绍:从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。 进入透明模式 Firewall(config)# firewall transparent (show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件) 配置接口 Firewall(config)# interface hardware-id Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate} Firewall(config-if)# duplex {auto | full | half} Firewall(config-if)# [no] shutdown Firewall(config-if)# nameif if_name Firewall(config-if)# security-level level 注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样, same-security-traffic permit inter-interface命令可以免除此限制。 配置管理地址 Firewall(config)# ip address ip_address subnet_mask Firewall(config)# route if_name foreign_network foreign_mask gateway [metric] MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表 Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间 Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目 Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证) ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目 Firewall(config)# arp-inspection if_name enable [flood | no-flood] 端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype} Firewall(config)# access-group acl_id {in | out} interface if_name
6509的FWMS模块配置
6509的FWMS模块配置
我的6509 fwsm笔记
基于PIX6.0,支持100个VLAN,和switch通过6G的etherchannel连接,802.1q封装。
未配置的VLAN都作为inside处理,它们之间的通信不经过FWSM。 外发的包到达高安全级端口,要经过NAT修改源地址后流向低安全级端口;流入的包要先经过检查,修改目标地址后转发到受保护端口
FWSM可以在MSFC前,也可以在MSFC后
3个配置例子 1
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程
· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode. o MSFC(config)#interface vlan 10 o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0 o MSFC(config-int)#no shutdown · Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module. o MSFC(config)#firewall vlan-group 1 10,20 o MSFC(config)#firewall module 3 vlan-group 1 · Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the FWSM is in slot 3 of the chassis. o MSFC#session slot 3 proc 1 · Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in global config mode. o FWSM(config)#nameif 10 outside 0 o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0 o FWSM(config)#nameif 20 inside 100 o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0 · Add default route to Outside security level on the FWSM. o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1 · Configure a STATIC NAT entry for hosts A and B to be seen by outside users. o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B · Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level. o FWSM(config)#nat (inside) 1 0 0 o FWSM(config)#global (outside) 1 206.10.10.100 · Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the outside security level. o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping) o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping) · Now apply the defined access-list "outside-acl" to the outside interface as follows: o FWSM(config)#access-group outside-acl in interface outside
2
OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于: FWSM通过vlan10连接外部,所以65连接外部的g8/1要属于vlan10 o MSFC(config)#interface gigabit 8/1 o MSFC(config-int)# switchport o MSFC(config-int)#switchport mode access o MSFC(config-int)#switchport access vlan 10 o MSFC(config-int)#no shutdown MSFC上使用静态路由即可 o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1 FWSM使用静态路由以便使外部数据可以进入内部 o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2
3
DMZ | vlan50 | OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程比1增加了如下: | vlan60 | DMZ · Create the DMZ VLAN’s on the MSFC in global config mode o MSFC(config)#vlan 50 o MSFC(config-vlan)#no shutdown o MSFC(config)#vlan 60 o MSFC(config-vlan)#no shutdown · Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1. o MSFC(config)#firewall vlan-group 1 50,60 DMZ的计算机连接端口要设成switchport以便FWSM可以看到 o MSFC(config)#interface FastEthernet 7/1 o MSFC(config-int)#switchport o MSFC(config-int)switchport mode access o MSFC(config-int)switchport access vlan 60 o MSFC(config-int)no shutdown · Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels. o FWSM(config)#nameif 60 dmz1 60 o FWSM(config)#nameif 50 dmz2 50 o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0 o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0 · To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be established depending upon the direction of the traffic flow. o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0 o FWSM(config)#global (outside) 2 206.10.10.60 o FWSM(config)#global (dmz2) 2 10.50.50.200 o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0 o FWSM(config)#global (outside) 3 206.10.10.50 o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255 o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255 o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255 有关acl o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www o FWSM(config)#access-list web permit tcp any host 206.10.1 | |
6509的FWMS模块配置
6509的FWMS模块配置
我的6509 fwsm笔记
基于PIX6.0,支持100个VLAN,和switch通过6G的etherchannel连接,802.1q封装。
未配置的VLAN都作为inside处理,它们之间的通信不经过FWSM。
外发的包到达高安全级端口,要经过NAT修改源地址后流向低安全级端口;流入的包要先经过检查,修改目标地址后转发到受保护端口
FWSM可以在MSFC前,也可以在MSFC后
3个配置例子
1
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程
· Create the Layer 3 Interface to be used as gateway by FWSM. This is done in global config mode.
o MSFC(config)#interface vlan 10
o MSFC(config-int)#ip address 206.10.10.1 255.255.255.0
o MSFC(config-int)#no shutdown
· Define a vlan-group for the Firewall Module and assign the vlans to a Firewall Module.
o MSFC(config)#firewall vlan-group 1 10,20
o MSFC(config)#firewall module 3 vlan-group 1
· Session to the FWSM. To do this type “session slot &module # proc 1” in enable mode. For our example we will assume the
FWSM is in slot 3 of the chassis.
o MSFC#session slot 3 proc 1
· Create Layer 3 interfaces on the FWSM. The command to do this is “nameif &vlan# &interface name &security level” in
global config mode.
o FWSM(config)#nameif 10 outside 0
o FWSM(config)#ip address outside 206.10.10.2 255.255.255.0
o FWSM(config)#nameif 20 inside 100
o FWSM(config)#ip address inside 10.20.20.1 255.255.255.0
· Add default route to Outside security level on the FWSM.
o FWSM(config)#route outside 0.0.0.0 0.0.0.0 206.10.10.1 1
· Configure a STATIC NAT entry for hosts A and B to be seen by outside users.
o FWSM(config)#static (inside,outside) 206.10.10.25 10.20.20.25 netmask 255.255.255.255 ?Host A
o FWSM(config)#static (inside,outside) 206.10.10.26 10.20.20.26 netmask 255.255.255.255 ?Host B
· Configure a NAT entry for users in the inside security level that wish to initiate a connection to the outside security level.
o FWSM(config)#nat (inside) 1 0 0
o FWSM(config)#global (outside) 1 206.10.10.100
· Configure access control lists and apply them to the interfaces to restrict access to the inside securty level by hosts on the
outside security level.
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.25 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.25 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.25 (this allows outside users to ping)
o FWSM(config)#access-list outside-acl permit tcp any host 206.10.10.26 eq www
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp
o FWSM(config)# access-list outside-acl permit tcp any host 206.10.10.26 eq ftp-data
o FWSM(config)# access-list outside-acl permit icmp any host 206.10.10.26 ?(this allows outside users to ping)
· Now apply the defined access-list "outside-acl" to the outside interface as follows:
o FWSM(config)#access-group outside-acl in interface outside
2
OUTSIDE—vlan10—FWSM—vlan20—MSFC—vlan30—CORE——HOST 与上面例子的不同之处在于:
FWSM通过vlan10连接外部,所以65连接外部的g8/1要属于vlan10
o MSFC(config)#interface gigabit 8/1
o MSFC(config-int)# switchport
o MSFC(config-int)#switchport mode access
o MSFC(config-int)#switchport access vlan 10
o MSFC(config-int)#no shutdown
MSFC上使用静态路由即可
o MSFC(config)#ip route 0.0.0.0 0.0.0.0 10.20.20.1
FWSM使用静态路由以便使外部数据可以进入内部
o FWSM(config)#route inside 10.0.0.0 255.0.0.0 10.20.20.2
3
DMZ
|
vlan50
|
OUTSIDE——MSFC—vlan10—FWSM—vlan20—CORE——HOST的配置过程比1增加了如下:
|
vlan60
|
DMZ
· Create the DMZ VLAN’s on the MSFC in global config mode
o MSFC(config)#vlan 50
o MSFC(config-vlan)#no shutdown
o MSFC(config)#vlan 60
o MSFC(config-vlan)#no shutdown
· Add VLAN’s 50 and 60 to the firewall-vlan group created in Configuration #1.
o MSFC(config)#firewall vlan-group 1 50,60
DMZ的计算机连接端口要设成switchport以便FWSM可以看到
o MSFC(config)#interface FastEthernet 7/1
o MSFC(config-int)#switchport
o MSFC(config-int)switchport mode access
o MSFC(config-int)switchport access vlan 60
o MSFC(config-int)no shutdown
· Session to the FWSM as outlined in Configuration #1 and configure the Layer 3 interfaces for the DMZ security levels.
o FWSM(config)#nameif 60 dmz1 60
o FWSM(config)#nameif 50 dmz2 50
o FWSM(config)#ip address dmz1 10.60.60.1 255.255.255.0
o FWSM(config)#ip address dmz2 10.50.50.1 255.255.255.0
· To enable users to be able to connect with the servers in the DMZ’s, STATIC and NAT translations will have to be
established depending upon the direction of the traffic flow.
o FWSM(config)#nat (dmz1) 2 10.60.60.0 255.255.255.0
o FWSM(config)#global (outside) 2 206.10.10.60
o FWSM(config)#global (dmz2) 2 10.50.50.200
o FWSM(config)#nat (dmz2) 3 10.50.50.0 255.255.255.0
o FWSM(config)#global (outside) 3 206.10.10.50
o FWSM(config)#static (inside,dmz1) 10.60.60.60 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (inside,dmz2) 10.50.50.50 10.20.20.25 netmask 255.255.255.255
o FWSM(config)#static (dmz1,dmz2) 10.50.50.50 10.60.60.25 netmask 255.255.255.255
有关acl
o FWSM(config)#access-list web permit tcp any host 206.10.10.125 eq www
o FWSM(config)#access-list web permit tcp any host 206.10.1
HSRP 和 GLBP的比较
小弟最近在改造公司的网络,三台6509,其中两台上面配置了FWSM和IDS模块,另外一块没有,三台6509放置在两个机房,主机房为一台有FWSM和IDS模块的6509和一台没有FWSM和IDS模块的6509,备份机房放置一台配置了FWSM和IDS模块的6509。
小弟网络中有若干VLAN需要透传于这三台6509之间,请教是否可以使用GLBP协议?
GLBP协议和HSRP协议各自具备哪些优劣特性。
2007-3-9 14:34
链路冗余:HSRP/SLB/VRRP/GLBP简单理解
一、HSRP介绍及相关配置
1)HSRP介绍
全称Hot Standby Routing Protocol,原理比较简单,类似于服务器HA群集,
两台或更多的路由器以同样的方式配置成Cluster,创建出单个的虚拟路由器,
然后客户端将网关指向该虚拟路由器。
最后由HSRP决定哪个路由器扮演真正的默认网关。
具体说,HRSP用于在源主机无法动态地学习到网关IP地址的情况下防止默认路由的失败。
它主要用于多接入,多播和广播局域网(例如以太网)。
2)相关技术介绍
局域网中,在主网关失效瘫痪的情况下,如何找到备份网关,主要有以下几种办法:
proxy ARP
IRDP
动态路由
HSRP
Proxy ARP
支持Proxy ARP 的计算机无论与本网段的计算机还是不同网段的计算机进入通讯都发送ARP广播以寻找与目的地址相对应的MAC地址,
这时,知道目的地址的路由器会响应ARP的请求,并将自己的MAC地址广播给源计算机,
然后源计算机就将IP数据包发给该路由器,并由路由器最终将数据包发送到目的。
ARP代理的主要缺点是切换时间长,如果主网关正在传输数据时失效,客户机仍然会继续发包,导致传输中断,
只有再另外发送Proxy ARP请求或重新启动之后才能找到备用网关以进行传输。
IRDP
支持IRDP的客户机会监听主网关发出的“Hello”的多点广播信息包,
如果该计算机不再收到“Hello”信息时,它就会利用备份路由器进行数据传输。
动态路由
如果使用动态路由来实现网关切换,则存在收敛过慢和内存占用的问题。
HRSP
自动切换
3)HRSP原理
需要注意的是,Cluster里的每个成员路由器仍然是标准的路由器,
客户端仍然可以将成员路由器配置成其默认网关。
在Cisco路由器中,最多可以配置256个HSRP组,
因为HSRP能够使用的MAC地址类似于:0000.0c07.ac**。
HRSP每隔3秒发送hello包,包括group ID,HSRP group和优先级(默认为100)。
路由器彼此之间依据优先级,确定优先级最高的路由器是活动路由器。
如果优先级相同,在IP地址高的成为活动路由器。
在HRSP组中,只允许同时存在一个活动路由器,其他路由器都处于备用状态,
备用路由器不转发数据包。
如果备用路由器持续不断地收到活动路由器发来的hello包,
则其会一直处于备用状态。
一旦备用路由器在规定的时间内(Hold Time,默认10秒)没有收到hello包,,
则认为活动路由器失效,
优先级最高的备用路由器就接替活动路由器的角色,开始转发数据包。
4)HRSP preempt技术
HRSP技术能够保证优先级高的路由器失效恢复后总能处于活动状态。
活动路由器失效后,优先级最高的备用路由器处于活动状态,
如果没有使用preempt技术,
则当活动路由器恢复后,只能处于备用状态,
先前的备用服务器代替其角色处于活动状态,直到下一次选举发生。
5)HRSP track技术
如果所监测的端口出现故障,则也可以进行路由器的切换。
如果主路由器上有多条线路被跟踪,
则当一条线路出现故障时,就会切换到备份路由器上,即使其他都线路正常工作,
直到主路由器该线路正常工作,才能重新切换回来。
该功能在实际应用中完全可以由线路备份功能实现。
6)HRSP配置
routerA#conf t
routerA(config)#int e0
routerA(config)#standby ip 172.16.1.254
routerA(config)#standby preempt
routerA(config)#standby track serial 0
routerA(config)#exit
routerA#
二、SLB介绍及相关配置
1)SLB介绍
全称Server Load Balancing,可以看作HSRP的扩展,实现多个服务器之间的复杂均衡。
虚拟服务器代表的是多个真实服务器的群集,
客户端向虚拟服务器发起连接时,通过某种复杂均衡算法,转发到某真实服务器。
负载均衡算法有两种:
Weighted round robin(WRR)和Weighted least connections(WLC),
WRR使用加权轮询算法分配连接,WLC通过一定的权值,将下一个连接分配给活动连接数少的服务器。
2)SLB配置
配置分为两部分,
第一部分是使用slb serverfarm serverfarm_name命令定义SLB选项,包括指定真实服务器地址;
第二部分是使用ip slb vserver virtual_server-name来指定虚拟服务器地址。
router#config t
router(config)#ip slb serverfarm email
router(config-slb-sfarm)#real 192.168.1.1
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#real 192.168.1.2
router(config-slb-sfarm)#inservice
router(config-slb-sfarm)#exit
router(config)#ip slb vserver vserver_one
router(config-slb-vserver)#vitual 10.1.1.1 tcp 25
router(config-slb-vserver)#serverfarm email
router(config-slb-vserver)#inservice
router(config-slb-vserver)#exit
router(config)#exit
router#
三、VRRP介绍
全称Virtual Router Redundancy Protocol,和HSRP类似,
只是HSRP是Cisco专有的协议,只应用在Cisco设备上。
VRRP符合Internet标准,定义见RFC2338,是不同厂家之间共同遵循的标准。
VRRP负责从VRRP路由器组中选择一个作为Master,
然后客户端使用虚拟路由器地址作为其默认网关。
配置例子见:
四、GLBP介绍及配置
1)GLBP介绍
全称Gateway Load Banancing Protocol,
和HRSP、VRRP不同的是,GLBP不仅提供冗余网关,还在各网关之间提供负载均衡,
而HRSP、VRRP都必须选定一个活动路由器,而备用路由器则处于闲置状态。
和HRSP不同的是,GLBP可以绑定多个MAC地址到虚拟IP,
从而允许客户端选择不同的路由器作为其默认网关,而网关地址仍使用相同的虚拟IP,
从而实现一定的冗余。
2)活动网关选举
使用类似于HRSP的机制选举活动网关,
优先级最高的路由器成为活动落由器,称作Acitve Virtual Gateway,其他非AVG提供冗余。
某路由器被推举为AVG后,和HRSP不同的工作开始了,AVG分配虚拟的MAC地址给其他GLBP组成员。
所有的GLBP组中的路由器都转发包,
但是各路由器只负责转发与自己的虚拟MAC地址的相关的数据包。
3)地址分配
每个GLBP组中最多有4个虚拟MAC地址,非AVG路由器有AVG按序分配虚拟MAC地址,
非AVG也被称作Active Virtual Forwarder(AVF)。
AVF分为两类:Primary Virtual Forwarder和Secondary Virtual Forwarder。
直接由AVG分配虚拟MAC地址的路由器被称作Primary Virtual Forwarder,
后续不知道AVG真实IP地址的组成员,只能使用hellos包来识别其身份,然后被分配虚拟MAC地址,此类被称作Secondary Virtual Forwarder。
4)GLBP配置
如果AVG失效,则推举就会发生,决定哪个AVF替代AVG来分配MAC地址,推举机制依赖于优先级。
最多可以配置1024个GLBP组,不同的用户组可以配置成使用不同的组AVG来作为其网关。
router#conf t
router(config)#int fastethernet 0/0
router(config-if)#ip address 10.1.1.1
router(config-if)#glbp 99 ip 10.1.1.254
router(config-if)#glbp 99 priority 105
router(config-if)#glbp 99 preempt delay 10
router(config-if)#glbp 99 weighting track int s0 10
router(config-if)#exit
router(config)#^Z
阅读(2719) | 评论(0) | 转发(0) |