技术分享——使用ciscopix防火墙(1)

　　1.interface command

       在配置用户接口的时候我们经常听到关于接口的专有名词

　　hardware_id指ethernet 0,e1,e2

　　interface_name指outside,inside,dmz

　　hardware_speed,通产设置为自动，但是cisco推荐我们手动配置速度.关于速度和你选择的网络传输介质有关.

　　no shutdown在router上用户激活这个端口，在pix中，没有no shutdown命令，只有使用到shutdown这个参数，主要用于管理关闭接口.

　　interface hardware_id hardware_speed [shutdown]

　　interface e0 auto

　　interface e1 auto

　　interface e2 auto

　　2.nameif command

　　nameif 主要用于命令一个接口，并且给它分配一个从1到99的安全值，因为外部接口和内部接口都是默认的，分别是0和100,同时默认情况下e0是外部接口，e1是指内部接口.

　　nameif hardware_id if_name security_level

　　nameif e0 outside 0

　　nameif e1 inside 100

　　nameif e2 dmz 50

　　使用show nameif来查看配置情况

　　关于security_level值得区别，请都看看我前面写的.从高安全段的流量到低安全段的流量怎么走，放过又怎么走，需要什么条件才能流进流出.

　　3.ip address command

　　cisco pix接口的ip 地址可以从两个地方来获得，分别是 manual 和dhcp

　　ip address用于手动配置一个接口上的ip address,通过将一个逻辑地址添加到一个硬件ID上.

　　ip address if_name ip_address [netmask]

　　ip address inside 192.168.6.0 255.255.255.0

　　Remove the currently configured ip address pix(config)#clear ip address　(全部清除ip address)

　　pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除这个接口的ip address)

　　4.Nat command

　　用于一组ip 地址转换成另外一组ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道这个究竟在什么环境才用到，呵呵

　　在用nat命令的时候，有个特别的注意点:nat 0有特殊含义，其次nat 总是和global一起使用.

　　nat (if_name) nat_id local_ip [netmas]

　　nat (inside) 1 192.168.6.0 255.255.255.0

　　5.Global command

　　global命令用于定义用nat命令转换成的地址或者地址范围，注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同.

　　global (if_name) nat_id global_ipglobal_ip-global_ip [netmask]

　　global (outside) 1 10.0.0.1 255.0.0.0　 (PAT转换，当你用这个命令，CLI会给你一个警告信息指出pix要PAT的所有地址)

　　global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0

　　这里有这样一个命令可以在pix检测转换表中查看你是否有这个特定ip的入口.show xlate,一般一个被转换的ip address保存在转换表中的默认时间是3个小时.你可以通过timeout xlate hh:ss来更改这个设置.

　　这里你也同样需要了解PAT是怎么工作的，同样你要知道PAT也有局限，不能支持H.323和高速缓存使用的名称服务器，老实说我也不知道这两个是什么东东:(

　　6.route command,very important!!!

　　route告诉我们要在那个特定的接口转发，并指定那个特定的网络地址.使用route命令向pix增加一个静态路由.

　　route if_name ip_address netmask gateway_ip [metric]