思科认证辅导:FWSM调试的经验思科认证

文章作者 100test 发表时间 2010:01:01 12:30:59
来源 100Test.Com百考试题网

　　前一段时间实施过两个关于FWSM调试的项目，现总结以下几点值得注意的地方：
　　1、FWSM与pix和ASA不同，默认FWSM不允许ping虚拟防火墙的任何端口，若想让ping,需要必须在端口上打开(icmp permit any inside/outside)；
　　2、FWSM与pix和ASA的另一个不同是：默认FWSM不允许从安全级别高的端口到安全级别底网络的访问，除.非用acl明确允许（从安全级别高到安全级别底方向的访问也需要写acl并应用到高安全级别端口上明确允许，才能访问）；而pix和asa默认是允许许从安全级别高的端口到安全级别底网络的访问，并不需要写acl应用到高安全级别端口明确允许；
　　3、FWSM默认只支持两个security context(不包括 admin context)。
　　4、从single 转换成 multiple模式时，有时输入mode multiple防火墙模块自动重起后，使用show mode命令查看时仍然显示为single模式，需多次输入命令mode multiple时,才能转换成multiple context模式(用show mode命令会显示)，这个现象比较怪，版本为2.3(3)。本文来源:百考试题网
　　5、FWSM配置为透明模式时，尽管与透明防火墙的FWSM的inside和outside两个逻辑端口关联的vlan是两个不同的 vlan(如nameif vlan88 inside security100 nameif vlan100 outside security0)，但是从cat6500上互连出去的ip与inside 或outside（取决于mfsc和fwsm的逻辑位置）互连的mfsc侧的逻辑端口ip必须是同一网段的ip。上次做项目时就是忽略这个细节，还是 LeoLi帮检查出来的。

　　编辑特别推荐:

　　各个方向CCIE认证投资回报分析

　　思科证书的意义：技术经验的证明

　　我是主考官：给一位应届毕业生的回信