实验三:PIX的基本使用
一.实验目的:
1. 掌握常用PIX防火墙的高级配置命令的用法。 2. 设置内部网络inside到外部网络outside的访问
二.实验要点:
1.通过使用GNS3,练习常用PIX防火期的高级配置命令的用法。
2.利用Telnet实用程序对外部路由器配置文件进行管理。
三.实验设备:
1. GNS3工具,路由器Cisco 3600二台,Cisco PIX804 一台 2. Real PC 一台,虚拟机一台
四、实验环境
需求
完成网络中设备的基本配置,测试网络的连通性,并且完成用PC远程配置WAN路由器。
五.实验步骤:
配置
pixfirewall> en Password:
pixfirewall# write erase/清除防火墙上的配置 Erase configuration in flash memory? [confirm] [OK]/重启防火墙 pixfirewall> en Password:
pixfirewall# conf t
pixfirewall(config)# hostname PIX PIX(config)# interface e0
PIX(config-if)# nameif outside//将E0口配置为外口 INFO: Security level for \
PIX(config-if)# security-level 0//将E0口安全级别设置为0 PIX(config-if)# ip address 220.171.1.2 255.255.255.0 PIX(config-if)#no shutdown PIX(config-if)# exit
PIX(config)# interface e1
PIX(config-if)# nameif inside//将E1口配置为内口 INFO: Security level for \
PIX(config-if)# security-level 100//将E1口安全级别设置为100 PIX(config-if)# ip address 10.0.1.1 255.255.255.0 PIX(config-if)#no shutdown PIX(config-if)# exit
PIX(config)# interface e2
PIX(config-if)# nameif dmz//将E2口配置为DMZ INFO: Security level for \
PIX(config-if)# security-level 50//将E2口安全级别设置为50 PIX(config-if)# ip address 172.16.1.1 255.255.255.0 PIX(config-if)#no shutdown PIX(config-if)# exit
如果PIX 不做设置,则从LAN 到WAN 的流量是无法出去的。
例如:LAN路由器 telnet WAN路由器(WAN路由器的telnet已启用) 配置前测试:
LAN#telnet 220.171.1.1 Trying 220.171.1.1 ...
% Connection timed out; remote host not responding LAN#
PIX(config)# nat (inside) 1 0 0 /内部流量过滤,允许内部任何流量(注:ICMP包可出但不可回)
PIX(config)# global (outside) 1 interface /使用outside接口ip实现端口地址转换 outside interface address added to PAT pool PIX(config)#
说明:由inside 发出的数据包,标签nat1,到外部时源地址会被outside 接口地址替换。由内向外的ping包,源地址也会被替换,但ping包默认可出,但返回时被outside接口阻挡。此实验如果扩展开来,pix还得配置到外部的路由。
扩展实验:由内部inside到外部outside特定ip 流量的实验
PIX(config)# clear nat counters /清除以前nat配置和global配置
PIX(config)# nat (inside) 1 10.0.2.0 255.255.255.0 /只允许内部pc的10.0.2.0/24网络流量
PIX(config)# global (outside) 1 220.171.1.3-220.171.1.4 netmask 255.255.255.0/使用地址池或PAT
PIX(config)# route inside 10.0.2.0 255.255.255.0 10.0.1.2 /实现到内部网络的路由,下一跳10.0.1.2,否则pix不知如何返回数据包 实验结果:
LAN#telnet 220.171.1.1 Trying 220.171.1.1 ...
% Connection timed out; remote host not responding LAN#
Lan(10.0.1.2/24)被拒绝
C:\\>telnet 220.171.1.1 /使用真实电脑(10.0.2.2/24)成功
pix防火墙对于内部到外部的流量默认不能做ping,做其它服务必须使用NAT功能,对到未知网络还需配置路由。而且pix防火墙可以通过由内部向外发出的返回数据包,而且默认拒绝由外部向内部发出的主动连接数据包。为了防止前次的实验干扰,在实验之前建议使用clear xlate来清除pix的内存连接
实验四: telnet到PIX防火墙
一.实验目的:
1. 掌握常用telnet到PIX防火墙的高级配置命令的用法。
二.实验要点:
1.通过使用GNS3,练习常用PIX防火墙的高级配置命令的用法。 2.利用Telnet实用程序对PIX防火期配置文件进行管理。
三.实验设备:
1. GNS3工具,路由器Cisco 3600三台,Cisco PIX804 一台 2. Real PC 一台,虚拟机一台
四、实验环境
需求
防火墙可以通过console线、telnet、ssh、asdm来管理,请分别实现各种方式的配置。
配置
Console:
console timeout 0//设置通过Console线访问防火墙时的超时时间,0为永不超时 enable password cisco//设置进入特权模式时的特权密码 telnet:
passwd 123qwe!//配置telnet/ssh登录密码 enable password cisco//配置特权密码
telnet timeout 15//设置telnet登陆超时时间为15分钟
telnet 192.168.1.100 255.255.255.255 inside//设置只有inside区域中的192.168.1.100客户端才可以进行telnet登陆 ssh:
hostname mypix//设置pix主机名
domain-name zt.com//设置域名为zt..com
crypto key generate rsa//由rsa算法产生一对密钥,用于ssh加密 passwd 123qwe!//设置ssh,telnet登陆密码,当ssh时,用户名为pix enable password cisco//配置特权密码
ssh timeout 5//设置ssh空闲超时时间为5分钟
ssh 192.168.1.100 255.255.255.255 inside//设置192.168.1.100可以在inside区域进行ssh登陆
五.实验步骤:
PIX(config)# clear nat counters
PIX(config)# clear route /清除全部手动输入的路由表,不能清除直连路由 PIX(config)# passwd cisco /给pix设置telnet密码,可以使用encrypted参数,密码必须16位。
PIX(config)# route inside 10.0.0.0 255.0.0.0 10.0.1.2
PIX(config)# telnet 10.0.2.2 255.255.255.255 inside /设置内部网络的一个ip或网络可以telet
PIX(config)# telnet timeout 15 /telnet空闲会话超过15分钟则关闭会话,默认缺省值5分钟
PIX(config)# banner motd this is my PIX /设置motd banner显示 实验结果:
C:\\>telnet 10.0.1.1 /使用真实电脑(10.0.2.2/24)成功
PIX(config)# who /查看那个ip正在连接pix控制台
0: 10.0.2.2
PIX(config)# kill 0 /kill掉连接到pix控制台的会话