The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги ]

форумы  правила/FAQ  поиск  регистрация  вход/выход  слежка  RSS
"fwsm на cisco6500"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Безопасность)
Изначальное сообщение [ Отслеживать ]
Cisco CCNA Routing & Switching версия 3.0 - новые курсы и экзамены
"fwsm на cisco6500"  +/
Сообщение от gvov (ok) on 07-Авг-17, 15:08 
Здравствуйте.

Есть C65, на ней есть десяток внутренних сетей, которые между собой коммутируются и маршрутизируются.

Нужно сделать NAT в интернет. Вставил ws-svc-fwm-1. Хочу чтобы он натил трафик наружу.
(без модуля скорость NAT 300Mbit, нужно 1Gbit, скорость модуля заявлена 5,5Gbit)

Проблема: в документации FWSM должен полностью пропускать весь внутренний трафик, а на C65 заходит только внешний интерфейс (только один SVI), а мне нужно по сути наоборот, чтобы через файрвол внутренний трафик не пропускать.

Решение: Что можно сделать? (Есть идея ставить вторую шасси где только FWSM и внутренняя сеть отдельно на основном первом шасси, но хочется найти решение с использованием только одного шасси и без файрвола внутреннего трафика) Возможно ли это?

С уважением, Владимир.

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "fwsm на cisco6500"  +/
Сообщение от eek (ok) on 07-Авг-17, 16:18 
Не нужно вам второе шасси.

В крайнем случае:  Выделяйте какие нужно vlan для fwsm, а потом сделаете физический линк между влан которые терминируются на файрволе и влан которые терминируются на супервизоре. (физически линк между портами одного шасси).

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "fwsm на cisco6500"  +/
Сообщение от gvov (ok) on 08-Авг-17, 16:05 
> Не нужно вам второе шасси.
> В крайнем случае:  Выделяйте какие нужно vlan для fwsm, а потом
> сделаете физический линк между влан которые терминируются на файрволе и влан
> которые терминируются на супервизоре. (физически линк между портами одного шасси).

Второе шасси как раз имеется для тестов, на нем и обкатываю. Но в итоге хочется обойтись без него.

Почитал, разобрался, можно и несколько интерфейсов сделать между FWSM и 6500 через
Router(config)#fire multiple-vlan-interfaces

Попробовал настроить интерфейсы но никак не могу заставить ходить пинги. Ощущение что пакеты на fwsm не проходят.
настройка с6K:
...
firewall multiple-vlan-interfaces
firewall module 4 vlan-group 1
firewall vlan-group 1  103,144,145
...
vlan 17
!
vlan 103
name outside
!
vlan 143
name 3e
!
vlan 144
!
vlan 145
name inside145
...
interface GigabitEthernet2/48
switchport
switchport trunk allowed vlan 17,103,144
switchport mode trunk
...
interface Vlan17
ip address 192.168.135.68 255.255.255.0
!
interface Vlan143
ip address 192.168.143.53 255.255.255.0
!
interface Vlan144
ip address 192.168.144.3 255.255.255.0
...
Здесь vlan103 - внешний, все остальные внутренние.

настрофка fwsm:

: Saved
:
FWSM Version 3.1(16)
!
hostname FWSM
enable password ююю encrypted
passwd ююю encrypted
names
!
interface Vlan103
nameif outside
security-level 0
ip address 190.90.73.100 255.255.255.0
!
interface Vlan144
nameif inside
security-level 100
ip address 192.168.144.1 255.255.255.0
!
ftp mode passive
access-list internet extended permit ip any any
access-list internet extended permit icmp any any
access-list outside extended permit ip any any
access-list outside extended permit icmp any any
access-list icmp extended permit icmp any any
pager lines 24
mtu outside 1500
mtu inside 1500
ip verify reverse-path interface outside
no failover
no asdm history enable
arp timeout 14400
nat-control
nat (inside) 1 192.168.144.0 255.255.255.0
access-group outside in interface outside
access-group icmp out interface outside
access-group internet in interface inside
access-group icmp out interface inside
route outside 0.0.0.0 0.0.0.0 190.90.73.1 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 1:00:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
telnet timeout 5
ssh timeout 5
console timeout 0
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
  inspect dns maximum-length 512
  inspect ftp
  inspect h323 h225
  inspect h323 ras
  inspect netbios
  inspect rsh
  inspect skinny
  inspect smtp
  inspect sqlnet
  inspect sunrpc
  inspect tftp
  inspect sip
  inspect xdmcp
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:b89250e77ююю
: end

Не пингую с C65 fwsm и обратно, давал ip внешний и на c65, с которого всё пингуется - шлюз и наружу при маршруте, но не пингуется fwsm

Куда смотреть?

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2017 by Maxim Chirkov  
ДобавитьРекламаВебмастеруГИД  
Hosting by Ihor