您现在的位置 : 路由人 > 路由器设置 > 正文 IP地址冲突 路由人教你更换IP地址 / 如何防蹭网的终极解决办法 / 连接上192.168.1.1没有账号、密码输入框 /

何为思科PIX防火墙的配置及命令

PIX是思科的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX25是典型的设备,有很多型号,并发连接数是PIX防火墙的重要参数。下面,我就主要详述PIX防火墙的具体操作步骤和实现指令。一、pix对dhcp支持...

PIX是思科的硬件防火墙,硬件防火墙有工作速度快,使用方便等特点。PIX25是典型的设备,有很多型号,并发连接数是PIX防火墙的重要参数。下面,我就主要详述PIX防火墙的具体操作步骤和实现指令。

一、pix对dhcp支持
10.1首先是可以将pix配置为dhcp server.PIX dhcp服务器只能在pix的内部接口上激活,同时你需要查找资料,因为个别的如506/506e,由于OS版本不同,对client ip address支持数目也不同.
dhcpd enable inside
dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0
dhcpd lease 2700 (授权用户的租借长度,默认时间是3600s)
dhcpd dns 61.177.7.1
dhcpd wins 61.177.7.1
dhcpd domain testing.cn
10.2可以将pix的外部接口配置为从ISP处接收地址
ip address outside dhcp [setroute] [retry retry_cnt]
setroute告诉pix防火墙使用默认网关参数设置的DHCP服务器返回的默认路由,当使用setroute选项时不再配置默认路由
同样可以使用ip address dhcp来释放和重建一个外部接口的ip address
通过show ip address dhcp来查看当前的租借信息.

二、测试你的配置,一般有几种,首先查看一下你的配置命令是否正确,show xxxxx来查看

show interface,show nameif,show ip address,show route,show nat,show global 等等.其次使用ping命令,前提是你需要使用icmp permit any any outside,因为默认情况下pix是拒绝所有来自于外部接口的输入流量的,除非你使用conduit permit icmp any any ,但是这个命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建议大家可以看看,但是看了之后最好关掉,以便影响pix的performance.

三、Nat command
用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道这个究竟在什么环境才用到,呵呵
在用nat命令的时候,有个特别的注意点:nat 0有特殊含义,其次nat 总是和global一起使用.
nat (if_name) nat_id local_ip [netmas]
nat (inside) 1 192.168.6.0 255.255.255.0

四、RIP command
不讲,不想了解,也不知道,没有见过那个人在配置PIX用过RIP协议的
需要了解的人查书吧,如果你有这方面的经验,可以写出来大家share一下:)

五、配置每一个pix命令是在pix立刻反应出来的,所以你可以尝试配置,但是不要配置,等你有把握时在保存wr m,但你配置错误,你可以reload一下就可以了.

六、interface command
在配置用户接口的时候我们经常听到关于接口的专有名词
hardware_id指ethernet 0,e1,e2
interface_name指outside,inside,dmz
hardware_speed,通产设置为自动,但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.
no shutdown在router上用户激活这个端口 ,在pix中,没有no shutdown命令,只有使用到shutdown这个参数,主要用于管理关闭接口.
interface hardware_id hardware_speed [shutdown]
interface e0 auto
interface e1 auto
interface e2 auto

七、ip address command
cisco pix接口的ip 地址可以从两个地方来获得,分别是manual 和dhcp
ip address用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID上.
ip address if_name ip_address [netmask]
ip address inside 192.168.6.0 255.255.255.0
Remove the currently configured ip address pix(config)#clear ip address  (全部清除ip address)
pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)

八、nameif command
nameif 主要用于命令一个接口,并且给它分配一个从1到99的安全值,因为外部接口和内部接口都是默认的,分别是0和100,同时默认情况下e0是外部接口,e1是指内部接口.
nameif hardware_id if_name security_level
nameif e0 outside 0
nameif e1 inside 100
nameif e2 dmz 50
使用show nameif来查看配置情况
关于security_level值得区别,请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走,放过又怎么走,需要什么条件才能流进流出.

上文主要讲述了思科PIX的防火墙的详细配置,同时给予用户具体的操作步骤以及实现命令。

延伸阅读:
  • 本月热点
  • 随机推荐
路由人提示:如需转载本站无线连接及路由器设置等技术文章请您注明出处,谢谢!
Copyright © www.LuYouRen.com, All Rights Reserved.
  苏ICP备12075116号