GNS3中如何进行PIX防火墙实验(6)

Viewuser用户可以在接口模式下shutdown或者no shutdown接口

实验九：防火墙透明模式

一．实验目的

1. 掌握理解PIX防火墙透明模式配置命令。 2. 完成透明模式转换。

二．实验要点

1．掌握PIX防火墙的firewall transparent配置命令。 2．通过ICMP协议来测试连通性。

三．实验设备

1. GNS3工具，路由器Cisco 3600二台 2. Cisco PIX804 一台，Real PC 一台

四、实验环境

需求

将防火墙设置为第二层透明模式，在192.168.2.0和192.168.3.0之间使用防火墙增强安全性，但必须使得两端路由器能通过OSPF协议学习到对端的路由。且192.168.2.0和192.168.3.0之间可以通过ICMP协议来测试连通性。

配置

pixfirewall>en pixfirewall#conf t

pixfirewall(config)# firewall transparent//进入透明模式 pixfirewall(config)#exit

pixfirewall# show firewall//查看工作模式 Firewall mode: Transparent pixfirewall#conf t

pixfirewall(config)# interface Ethernet0//配置接口,无需配置IP地址 pixfirewall (config-if)# nameif inside

INFO: Security level for \pixfirewall (config-if)#no shutdown

pixfirewall (config-if)#exit

pixfirewall (config)# interface e1 pixfirewall (config-if)# nameif inside

INFO: Security level for \pixfirewall (config-if)#no shutdown pixfirewall (config-if)# exit

pixfirewall(config)# ip address 192.168.1.3 255.255.255.0//配置管理IP

pixfirewall(config)#access-list permitlist extended permit ospf any any//配置访问列表允许通过OSPF协议

pixfirewall(config)#access-list permitlist extended permit icmp any any//配置访问列表允许通过icmp协议

pixfirewall(config)#access-group permitlist in interface inside//在inside接口上放行permitlist指定的流量

pixfirewall(config)#access-group permitlist in interface outside//在outside接口上放行permitlist指定的流量 pixfirewall(config)#exit

pixfirewall# show mac-address-table//查看和配置MAC-ADDRESS-TABLE

interface mac address type Age(min) ------------------------------------------------------------------

inside 001c.255d.148c dynamic 5

pixfirewall(config)# mac-address-table aging-time 5

pixfirewall(config)#mac-address-table static inside 0011.2233.4455//在inside接口上静态绑定MAC地址。

pixfirewall(config)# mac-learn outside disable//在outside接口上关闭MAC地址的学习

pixfirewall# show arp//查看ARP表

pixfirewall(config)# arp inside 192.168.2.100 003c.2756.2e23//在inside接口上静态绑定ARP

pixfirewall(config-if)# arp-inspection outside enable//在outside接口上启动arp检测

实验十：基本Failover

一．实验目的

1. 掌握理解PIX防火墙基本的failover原理。 2. 完成PIX防火墙之间的接替转换。

二．实验要点

1．掌握PIX防火墙的static 和access-list配置命令。 2．完成相关动态外部转换的后续实验。

三．实验设备

1. GNS3工具，路由器Cisco 3600 一台 2. Cisco PIX804 二台，Real PC 二台

四、实验环境

需求

PIX1和PIX2组成failover,要求当PIX1宕机后，PIX2能接替IP和MAC地址，继续工作。

五. 实验步骤

1.配置PIX1: pixfirewall>en pixfirewall#conf t

pixfirewall(config)#interface Ethernet0 pixfirewall(config-if)#nameif outside

INFO: Security level for \pixfirewall(config-if)# security-level 0

pixfirewall(config-if)# ip address 202.100.1.13 255.255.255.0 standby 202.100.1.14 //配置outside的主IP和备份IP pixfirewall(config-if)#exit

pixfirewall(config)# interface Ethernet1//用于心跳线 pixfirewall(config-if)#description LAN Failover Interface

pixfirewall(config-if)#no shut//激活E1接口 pixfirewall(config-if)#exit

pixfirewall(config)#interface Ethernet2 pixfirewall(config-if)#nameif inside

INFO: Security level for \pixfirewall(config-if)#security-level 100

pixfirewall(config-if)#ip address 192.168.1.1 255.255.255.0 standby 192.168.1.2 //配置inside的主IP和备份IP pixfirewall(config-if)#exit

pixfirewall(config)#access-list outlist extended permit icmp any interface outside pixfirewall(config)#echo-reply //用于ping测试的ACL pixfirewall(config)#failover//启动FAILOVER

pixfirewall(config)#failover lan unit primary//配置failover通过LAN口实现心跳线，并设置本机为primary端

pixfirewall(config)#failover lan interface flink Ethernet1//配置E1接口为LAN心跳线接口，并赋予flink名称

pixfirewall(config)#failover lan enable//激活LAN心跳线接口

pixfirewall(config)#failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2//设置LAN心跳线的ACTIVE端的IP和STANDBY端的IP，用于心跳通信 pixfirewall(config)#nat-control

pixfirewall(config)#global (outside) 1 interface

pixfirewall(config)#nat (inside) 1 192.168.1.0 255.255.255.0 pixfirewall(config)#access-group outlist in interface outside pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 202.100.1.1 1 2.配置PIX2 PIX2:

pixfirewall>en pixfirewall#conf t

pixfirewall(config)#interface Ethernet1//用于心跳线 pixfirewall(config)#description LAN Failover Interface pixfirewall(config)#no shut//接口E1接口 pixfirewall(config)#failover//启动FAILOVER

pixfirewall(config)#failover lan unit primary//配置failover通过LAN口实现心跳线，并设置本机为primary端

pixfirewall(config)#failover lan interface flink Ethernet1//配置E1接口为LAN心跳线接口，并赋予flink名称

pixfirewall(config)#failover lan enable//激活LAN心跳线接口

pixfirewall(config)#failover interface ip flink 10.1.1.1 255.255.255.0 standby 10.1.1.2//设置LAN心跳线的ACTIVE端的IP和STANDBY端的IP，用于心跳通信

3等待PIX1的所有配置通过failover link心跳线传输到PIX2 1. 通过show failover查看两端的状态

2. 测试效果，使用客户端PING外部网络，然后关闭处于ACTIVE状态的PIX1，稍等后，

PIX2将继续工作，客户端PING只有少许的中断。