实验七:配置PIX防火墙为DHCP服务器、DHCP中继
一.实验目的:
1. 掌握配置PIX防火墙为DHCP服务器 2. 掌握PIX防火墙为DHCP中继
二.实验要点:
1.通过使用GNS3,练习常用PIX防火墙的高级配置命令的用法。 2.对PIX防火墙进行配置,使LAN路由器完成地址分配。
三.实验设备:
1. GNS3工具,路由器Cisco 3600二台,Cisco PIX804 一台
四、实验环境
五.实验步骤:
pixfirewall> pixfirewall> en Password:
Pixfirewall#conf t
pixfirewall (config)# interface e1 pixfirewall (config-if)# nameif inside
INFO: Security level for \pixfirewall (config-if)# ip address 10.0.1.1 255.255.255.0 pixfirewall (config-if)#no shutdown pixfirewall (config-if)# exit
pixfirewall(config)# route inside 10.0.0.0 255.0.0.0 10.0.1.2 pixfirewall(config)# tftp-server inside 10.0.2.2 pix
pixfirewall(config)# configure net :pix1 /把存在tftp-server上的配置文件copy回来 ! !
The DES algorithm requires a VPN-DES activation key. The DES algorithm requires a VPN-DES activation key.
.WARNING: Policy map global_policy is already configured as a service policy
Cryptochecksum (unchanged): d3324e8a 4cbd5fde 8df8fe38 35925fb9 PIX(config)# /恢复上次保存配置
PIX(config)# dhcpd address 10.0.1.50-10.0.1.100 inside /内部网络使用dhcp地址池 PIX(config)# dhcpd dns 61.128.99.133 61.128.99.134 /设置分配dns地址 PIX(config)# dhcpd wins 10.0.1.10 10.0.1.11 /设置wins服务器地址 PIX(config)# dhcpd domain cisco.com /设置域名
PIX(config)# dhcpd enable inside /在内部接口上启用dhcp服务器
PIX(config)# dhcpd address 172.16.1.50-172.16.1.100 dmz /dmz网络上使用dhcp
地址池
PIX(config)# dhcpd enable dmz /在dmz接口上启用dhcp服务器
PIX(config)# dhcpd lease 6000 /设置租约期限,单位秒,默认3600秒 测试
LAN路由器上: LAN(config)#
LAN(config)#interface fa0/0
LAN(config-if)#ip add dhcp /设置地址从dhcp获得地址 LAN(config-if)#
LAN路由器fa0/0口自动获得地址10.0.1.50
说明:目前pix防火墙做为DHCP服务器分配的地址池必须和其启动接口在同一个子网,不能跨路由器分配地址,不能分配网关。 PIX防火墙做为DHCP中继
PIX(config)# dhcprelay server 220.171.1.1 outside /指定dhcp服务器的位置 PIX(config)# dhcprelay timeout 80 PIX(config)# dhcprelay enable inside WAN路由器上建立DHCP服务器
WAN(config)#ip dhcp pool kkk /建立DHCP地址池名kkk
WAN(dhcp-config)#network 10.0.1.0 255.255.255.0 /建立地址池范围 WAN(dhcp-config)#exit
WAN(config)#ip dhcp excluded-address 10.0.1.1 /从地址池中排除10.0.1.1 测试
LAN路由器上: LAN(config)#
LAN(config)#interface fa0/0
LAN(config-if)#ip add dhcp /设置地址从dhcp获得地址
LAN(config-if)#Interface FastEthernet0/0 assigned DHCP address 10.0.1.3, mask 255.255.255.0 exit
实验八:命令授权
一.实验目的
1. 掌握理解PIX防火墙配置命令。 2. 完成PIX命令使用等级的划分和管理
二.实验要点
1.练习常用PIX防火墙的高级配置命令的用法。 2.配置PIX按等级分配相应的命令权限。
三.实验设备
1. GNS3工具, Cisco PIX804 1个
2. Real PC 3个,路由器Cisco 3600 2个,server服务器 3个
四、实验环境
需求
某公司有两位管理员,其中一位是技术经理,另一位是助理,要求经理账户admin能telnet到PIX后执行任何命令,助理帐号viewuser只能执行show命令,以及开启端口;不能做其他任何配置修改。
配置
PIX将所有命令划分到16个等级,其中0等级命令为show version,show flash:,show starting-config,clear,test,ping,logout,disable等简单的命令,1-14等级为空等级,默认情况下没有任何命令属于这些等级,15等级为最高等级,包括所有命令;一般的,管理员属于15等级,其他管理员助理可以划分到1-14之间的任何等级,你要做的就是在把助理划分到某一等级后,记得把命令也划分到这个等级,这样才能使得助理可以执行你所分配的命令.
1.配置PIX1
pixfirewall> pixfirewall> en Password:
Pixfirewall#conf t
pixfirewall (config)# interface e1 pixfirewall (config-if)# nameif inside
INFO: Security level for \pixfirewall (config-if)# ip address 192.168.1.1 255.255.255.0 pixfirewall (config-if)#no shutdown pixfirewall (config-if)# exit
pixfirewall (config)#username admin password feng privilege 15//建立一个名字为admin,特权级别为15最高级别的用户,该级别的用户可以执行任何命令 pixfirewall (config)#username viewuser password chuan privilege 10//建立一个名字为viewuser,特权级别为10的用户,该级别在划分命令到10级别前,除了能执行0级别的命令,将无法执行任何命令
pixfirewall (config)#aaa authentication telnet console LOCAL //启用telnet的本地数据库认证
pixfirewall (config)#aaa authentication enable console LOCAL //对enable密码改为使用本地用户密码
pixfirewall (config)#aaa authorization command LOCAL//启动对命令的授权 pixfirewall (config)#telnet 192.168.1.0 255.255.255.0 inside//指定只能inside区域的192.168.1.0网段可以telnet访问
pixfirewall (config)#privilege cmd level 10 mode exec command configure//可以在10级别exec模式下执行configure命令
pixfirewall (config)#privilege show level 10 mode exec command configuration//可以在10级别show命令下执行configuration子命令,即可以show configuration
pixfirewall (config)#privilege show level 10 mode exec command running-config//可以在10级别exec模式下执行show running-config
pixfirewall (config)#privilege show level 10 mode exec command xlate//可以在10级别EXEC模式下执行show xlate
pixfirewall (config)#privilege show level 10 mode exec command access-list//可以在10级别下exec模式下执行show access-list
pixfirewall (config)#privilege cmd level 10 mode configure command interface//可以在10级别全局配置模式下执行interface命令
pixfirewall (config)#privilege cmd level 10 mode interface command shutdown//可以在10级别接口模式下执行shutdown或者 no shutdown
pixfirewall (config)#privilege cmd level 10 mode subinterface command shutdown//可以在10级别子接口模式下执行shutdown或者no shutdown
Viewuser用户登陆后只能简单的show
Viewuser用户可以进入配置模式,但是只能interface到接口,不能修改其他配置