(1)应用环境
·出于某种安全因素的考虑,接口e1与接口e2上各有不同需求的配置。
·此时全局配置模式对e1和e2接口都有影响,所以需要虚化出两台防火墙。
·使得两台虚拟化防火墙的配置各不影响。
虚拟化防火墙后,上面的环境等同于:
(2)部署
验证:show flash:
【配置概述】
第一步:PC1-PC2-R3基础IP地址配置(略)
第二步:FW1全局配置
Step 【1】:FW1物理接口基本配置
Step 【2】:FW1多模式配置
第三步:虚拟化防火墙V1配置
Step 【1】:定义全局管理模式admin
Step 【2】:FW1虚拟化防火墙V1
Step 【3】:V1访问Internet
第四步:虚拟化防火墙V2配置(略)
Step 【1】:FW1虚拟化防火墙V2
Step 【2】:V2访问Internet
【配置过程】
第一步:PC1-PC2-R3基础IP地址配置(略)
第三步:FW1全局配置
Step 【1】:FW1物理接口基本配置
pixfirewall(config)# interface e1
pixfirewall(config-if)# no shu tdown
pixfirewall(config-if)# interface e2
pixfirewall(config-if)# no shu tdown
pixfirewall(config-if)# interface e3
pixfirewall(config-if)# no shutdown
Step 【2】:FW1多模式配置
pixfirewall(config-if)# mode multiple
WARNING: This command will change the behavior of the device
WARNING: This command will initiate a Reboot
注意:需要重启设备,同时要使PIX具有多模式配置的功能,必须导入激活码
第三步:虚拟化防火墙V1配置
Step 【1】:定义全局管理模式admin
pixfirewall(config)# admin-context admin //定义全局管理模式admin
pixfirewall(config)# context admin //进入全局管理模式admin
pixfirewall(config-ctx)# config-url flash:/admin.cfg //定义全局管理模式配置文件保存点
Step 【2】:FW1虚拟化防火墙V1配置
pixfirewall(config)# context v1 //创建虚拟环境V1和虚拟化防火墙V1
Creating context ‘v1‘... Done. (2)
pixfirewall(config-ctx)# allocate-interface Ethernet1 //分配接口e1到V1
pixfirewall(config-ctx)# allocate-interface Ethernet3 //分配接口e2到V2
pixfirewall(config-ctx)# config-url flash:/v1.cfg //创建虚拟防火墙V1配置保存地点
Step 【3】:V1访问Internet配置
pixfirewall(config)# changeto context v1 //进入虚拟防火墙V1
接口基本配置:
pixfirewall/v1(config)# int e1
pixfirewall/v1(config-if)# no shu
pixfirewall/v1(config-if)# ip add 192.168.1.254 255.255.255.0
pixfirewall/v1(config-if)# nameif inside
pixfirewall/v1(config-if)# security-level 100
pixfirewall/v1(config-if)# int e3
pixfirewall/v1(config-if)# no shu
pixfirewall/v1(config-if)# ip add 100.1.1.1 255.255.255.0
pixfirewall/v1(config-if)# nameif outsid
pixfirewall/v1(config-if)# security-level 0
默认路由与NAT:
pixfirewall/v1(config)# route outside 0 0 100.1.1.254
pixfirewall/v1(config)# access-list NAT permit ip any any
pixfirewall/v1(config)# nat (inside) 1 access-list NAT
pixfirewall/v1(config)# global (outside) 1 interface
协议修正:
pixfirewall/v1(config)# fixup protocol icmp
pixfirewall/v1(config)# wr
第四步:虚拟化防火墙V2配置(略)
Step 【1】:FW1虚拟化防火墙V2
Step 【2】:V2访问Internet