交换机防火墙配置管理下的注意事项从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。 防火墙的透明模式 特性介绍:从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式,接口不需要配置地址信息,工作在二层。只支持两个接口inside和outside,当然可以配置一个管理接口,但是管理接口不能用于处理用户流量,在多context模式下不能复用物理端口。 由于连接的是同一地址段的网络,所以不支持NAT,虽然没有IP地址但是同样可以配置ACL来检查流量。进入交换机防火墙配置 Firewall(config)# firewall transparent(show firewall 来验证当前的工作模式,由于路由模式和透明模式工作方式不同,所以互相切换的时候会清除当前配置文件)。 交换机防火墙配置接口 Firewall(config)# interface hardware-id Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate} Firewall(config-if)# duplex {auto | full | half} Firewall(config-if)# [no] shutdown Firewall(config-if)# nameif if_name Firewall(config-if)# security-level level 交换机防火墙配置注:不用配置IP地址信息,但是其它的属性还是要配置的,接口的安全等级一般要不一样, same-security-traffic permit inter-interface命令可以免除此限制。 配置管理地址 Firewall(config)# ip address ip_address subnet_mask Firewall(config)# route if_name foreign_network foreign_mask gateway [metric] MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表 Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间 Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目 Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证) ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目 Firewall(config)# arp-inspection if_name enable [flood | no-flood] 交换机防火墙配置端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-uni_cast | mpls-multi_cast | ethertype} Firewall(config)# access-group acl_id {in | out} interface if_name。 来源:天极网 责编:王立新  微信扫一扫实时了解行业动态 著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。 |
最新专题 |
资深技术经理:无线网络设备导致信..
网上邻居九招特殊的应用.doc|
|
