Cisco PIX 简单配置-2

pond2539

1.interface command　　在配置用户接口的时候我们经常听到关于接口的专有名词
　　hardware_id指ethernet 0,e1,e2
　　interface_name指outside,inside,dmz
　　hardware_speed,通产设置为自动，但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.　　no shutdown在router上用户激活这个端口，在pix中，没有no shutdown命令，只有使用到shutdown这个参数，主要用于管理关闭接口.
　　interface hardware_id hardware_speed [shutdown]
　　interface e0 auto
　　interface e1 auto
　　interface e2 auto
　　2.nameif command
　　nameif 主要用于命令一个接口，并且给它分配一个从1到99的安全值，因为外部接口和内部接口都是默认的，分别是0和100,同时默认情况下e0是外部接口，e1是指内部接口.
　　nameif hardware_id if_name security_level
　　nameif e0 outside 0
　　nameif e1 inside 100
　　nameif e2 dmz 50
　　使用show nameif来查看配置情况
　　关于security_level值得区别，请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走，放过又怎么走，需要什么条件才能流进流出.
　　3.ip address command
　　cisco pix接口的ip 地址可以从两个地方来获得，分别是 manual 和dhcp
　　ip address用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID上.
　　ip address if_name ip_address [netmask]
　　ip address inside 192.168.6.0 255.255.255.0
　　Remove the currently configured ip address pix(config)#clear ip address　(全部清除ip address)
　　pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)
　　4.Nat command
　　用于一组ip地址转换成另外一组ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道这个究竟在什么环境才用到，呵呵
　　在用nat命令的时候，有个特别的注意点:nat 0有特殊含义，其次nat 总是和global一起使用.
　　nat (if_name) nat_id local_ip [netmas]
　　nat (inside) 1 192.168.6.0 255.255.255.0
　　5.Global command
　　global命令用于定义用nat命令转换成的地址或者地址范围，注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同.
　　global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]
　　global (outside) 1 10.0.0.1 255.0.0.0　 (PAT转换，当你用这个命令，CLI会给你一个警告信息指出pix要PAT的所有地址)
　　global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0
　　这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.show xlate,一般一个被转换的ip address保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss来更改这个设置.
　　　　这里你也同样需要了解PAT是怎么工作的，同样你要知道PAT也有局限，不能支持H.323和高速缓存使用的名称服务器，老实说我也不知道这两个是什么东东:(
　　6.route command,very important!!!
　　　　route告诉我们要在那个特定的接口转发，并指定那个特定的网络地址.使用route命令向pix增加一个静态路由.
　　route if_name ip_address netmask gateway_ip [metric]
　　说明一下if_name指你数据要离开处的那个端口
　　ip_address被路由的ip address
　　netmask被路由的ip address的网络掩码
　　gateway_ip 下一跳的ip address
　　metric到下一个设备的跳数
　　在pix上用的最多的是配置一个默认路由
　　route outside 0 0 192.168.1.3 1 其中0 0 表示网段内所有的ip address从outside ip address是192.168.1.3出去

　　如果你想要测试新的路由配置，在这之前用cleararp清除pixfirewall的arp高速缓存is a good>　　7.RIP command
　　不讲，不想了解，也不知道，没有见过那个人在配置PIX用过RIP协议的
　　需要了解的人查书吧，如果你有这方面的经验，可以写出来大家share一下:)
　　8.测试你的配置，一般有几种，首先查看一下你的配置命令是否正确，show xxxxx来查看。show interface,show nameif,show ip address,show route,show nat,show global 等等.其次使用ping命令，前提是你需要使用icmp permit any any outside，因为默认情况下pix是拒绝所有来自于外部接口的输入流量的，除非你使用conduit permit icmp any any ,但是这个命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建议大家可以看看，但是看了之后最好关掉，以便影响pix的performance.
　　9.配置每一个pix命令是在pix立刻反应出来的，所以你可以尝试配置，但是不要配置，等你有把握时在保存wr m,但你配置错误，你可以reload一下就可以了.
　　10.pix对dhcp支持
　　10.1首先是可以将pix配置为dhcp server.PIXdhcp服务器只能在pix的内部接口上激活，同时你需要查找资料，因为
　　个别的如506/506e，由于OS版本不同，对client ip address支持数目也不同.
　　dhcpd enable inside
　　dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0
　　dhcpd lease 2700 (授权用户的租借长度，默认时间是3600s)
　　dhcpddns61.177.7.1
　　dhcpdwins61.177.7.1
　　dhcpd domain testing.cn
　　10.2可以将pix的外部接口配置为从ISP处接收地址
　　ip address outside dhcp [setroute] [retry retry_cnt]
　　setroute告诉pix防火墙使用默认网关参数设置的DHCP服务器返回的默认路由，当使用setroute选项时不再配置默认路由
　　同样可以使用ip address dhcp来释放和重建一个外部接口的ip address
　　通过show ip address dhcp来查看当前的租借信息.
　　11.时间设置和NTP支持
　　手动配置和通过NTP服务器获得系统时间.
　　手动配置clock set hh:mm:ss month day year,关于通过NTP来配置，大家查查资料吧，也没有见过别人来做过，安全要求太高了.