思科认证知识点之FWSM调试

　　在最近的一段时间之内，小编已经实施过两个关于FWSM调试的项目，可以说的上是非常熟悉了。在这一个过程里面，小编就为大家总结了好几点值得大家需要注意的地方。今天就跟着小编一起来学习下面这篇教程吧，思科认证知识点之FWSM调试。

　　关于FWSM调试这一个部分，大家都应该注意哪一些地方呢？如果你也想知道，那就跟着小编一起来看看吧。具体的总结经验如下：

　　经验一：FWSM配置为透明模式的时候，就算是和透明防火墙的FWSM的outside以及inside这两个逻辑端口相关联的vlan（虚拟局域网）是两个完全不一样的vlan(就比如说：nameif vlan88 inside security100 nameif vlan100 outside security0)，但是从cat6500上面互连出去的ip与inside又或者是outside（这完全都是取决于fwsm以及mfsc这两者的逻辑位置）互连的mfsc侧的逻辑端口ip（网络之间互连的协议）一定要是同一个网段上面的ip。小编就是在上一次制作项目的时候忽略了这一个小小的细节，从而就导致了错误的情况出现，最后还是经过别人的帮忙才将问题检查出来的。

　　经验二：大家从single模式转换成为multiple模式的时候，有些时候就需要输入mode multiple防火墙模块自动重起以后，大家使用show mode这一条命令查看的时候，可以发现依然显示出来的是single模式，这就需要大家多次输入命令mode multiple的时候,才可以转换成为multiple context模式了(大家在使用show mode这一条命令的时候就会显出来了)。就小编个人认为这一个现象还是比较奇怪的，版本是为2.3(3)。

　　经验三：FWSM与ASA以及pix这两者还是有不同之处的，有一个不同的地方那就是：默认FWSM是不允许从安全级别高的端口到安全级别底网络的访问的，除非大家是使用acl明确允许（从安全级别高到安全级别底方向的访问也是需要写acl并且还要将其应用到高安全级别端口上面才可以明确的允许，才可以进行访问的）；然而ASA以及pix（PIX是Cisco公司开发的防火墙系列设备，主要起到策略过滤，隔离内外网，根据用户实际需求设置DMZ）在默认情况下面，这是允许从安全级别高的端口到安全级别底网络的访问，然而并不需要编写acl应用到高安全级别端口明确允许的。

　　经验四：然而FWSM与pix和ASA另外一个不同的地方那就是：在默认情况下面，FWSM是不允许ping虚拟防火墙的任何一个端口的，假如说大家想让ping,需要一定要在端口上面打开(icmp permit any inside/outside)才可以的哟。

　　经验五：最后小编想说的是，FWSM在默认情况下面，仅仅只支持两个security context而已(当然啦，这并不包括admin context)，所以大家在这里一定要注意咯。

　　小编结语：

　　通过这篇考试认证教程，主要是带你认识思科认证知识点之FWSM调试？如果还是不太懂，可以看多几遍教程哟，毕竟思科认证还是一种较为受欢迎的考试。课课家教育每天更新不同的教程，一起来学习吧。