交換機防火墻配置管理下的注意事項，6509交換機FWSM防火墻透明模式配置。一個朋友托我給他解決一下交換機防火墻配置的問題，問詢了很多人，都沒有滿意的答復。下面是在網上找到的一篇跟問題相似的解答。

防火墻的透明模式

特性介紹：從PIX 7.0和FWSM 2.2開始防火墻可以支持透明的防火墻模式，接口不需要配置地址信息，工作在二層。只支持兩個接口inside和outside，當然可以配置一個管理接口，但是管理接口不能用于處理用戶流量，在多context模式下不能復用物理端口。

由于連接的是同一地址段的網絡，所以不支持NAT，雖然沒有IP地址但是同樣可以配置ACL來檢查流量。進入交換機防火墻配置 Firewall(config)# firewall transparent(show firewall 來驗證當前的工作模式，由于路由模式和透明模式工作方式不同，所以互相切換的時候會清除當前配置文件)。

交換機防火墻配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level

交換機防火墻配置注：不用配置IP地址信息，但是其它的屬性還是要配置的，接口的安全等級一般要不一樣，

same-security-traffic permit inter-interface命令可以免除此限制。 
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route  if_name  foreign_network    foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 顯示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 設置MAC地址表過期時間
Firewall(config)# mac-address-table static if_name mac_address 設置靜態MAC條目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址學習(show mac-learn驗證)
ARP檢查 Firewall(config)# arp if_name ip_address mac_address 靜態ARP條目
Firewall(config)# arp-inspection if_name enable    [flood | no-flood]

交換機防火墻配置端口啟用ARP檢查為非IP協議配置轉發策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name。