交换机防火墙配置管理下的注意事项，6509交换机FWSM防火墙透明模式配置。一个朋友托我给他解决一下交换机防火墙配置的问题，问询了很多人，都没有满意的答复。下面是在网上找到的一篇跟问题相似的解答。

防火墙的透明模式

特性介绍：从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式，接口不需要配置地址信息，工作在二层。只支持两个接口inside和outside，当然可以配置一个管理接口，但是管理接口不能用于处理用户流量，在多context模式下不能复用物理端口。

由于连接的是同一地址段的网络，所以不支持NAT，虽然没有IP地址但是同样可以配置ACL来检查流量。进入交换机防火墙配置 Firewall(config)# firewall transparent(show firewall 来验证当前的工作模式，由于路由模式和透明模式工作方式不同，所以互相切换的时候会清除当前配置文件)。

交换机防火墙配置接口 Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level

交换机防火墙配置注：不用配置IP地址信息，但是其它的属性还是要配置的，接口的安全等级一般要不一样，

same-security-traffic permit inter-interface命令可以免除此限制。 
配置管理地址 Firewall(config)# ip address ip_address subnet_mask
Firewall(config)# route  if_name  foreign_network    foreign_mask gateway [metric]
MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表
Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间
Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目
Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)
ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目
Firewall(config)# arp-inspection if_name enable    [flood | no-flood]

交换机防火墙配置端口启用ARP检查为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}
Firewall(config)# access-group acl_id {in | out} interface if_name。