. · Interface command : interface hardware_id hardware_speed [shutdown] - hardware_id : chỉ ra interface và vị trí vật lí của nó trên pix . - hardware_speed : chỉ ra tốc độ kết nối . Sử dụng auto để pix tự động điều chỉnh tốc độ với thiết bị mà nó kết nối . Kiểm tra cấu hình bằng các lệnh show : Pix# sh static static (dmz,outside) 209.162.1.10 172.16.1.2 netmask 255.255.255.255 0 0 static (inside,outside) 209.162.1.9 10.10.10.10 netmask 255.255.255.255 0 0 static (inside,dmz) 172.16.1.5 10.10.10.10 netmask 255.255.255.255 0 0 Pix# sh nat nat (inside) 1 0.0.0.0 0.0.0.0 0 0 Pix# sh global global (outside) 1 209.162.1.30 Pix(config)# sh route outside 0.0.0.0 0.0.0.0 209.162.1.2 1 OTHER static inside 10.10.10.0 255.255.255.0 10.10.10.1 1 CONNECT static dmz 172.16.1.0 255.255.255.0 172.16.1.1 1 CONNECT static outside 209.162.1.0 255.255.255.0 209.162.1.1 1 CONNECT static ðMặc định trong bảng định tuyến của pix có các route là connect static . Các route được cấu hình sẽ có prompt là other static Để các host giữa các mạng có thể ping thấy nhau , ta phải dùng conduit command để thực hiện điều này : Pix(config)# conduit permit icmp any any Pix(config)# conduit permit tcp host 209.162.1.10 eq www any Pix(config)# conduit permit tcp host 209.162.1.9 eq www any Pix(config)# conduit permit tcp host 209.162.1.9 eq telnet any ð Tạo conduit để cho phép tất cả các host ở mạng outside (any) có thể truy cập web vào web server ở dmz và inside , có thể telnet vào mạng inside . Kiểm tra cấu hình conduit : Pix# sh conduit conduit permit tcp host 209.162.1.10 eq www any (hitcnt=0) conduit permit tcp host 209.162.1.9 eq www any (hitcnt=0) conduit permit tcp host 209.162.1.9 eq telnet any (hitcnt=1) conduit permit icmp any any (hitcnt=42) Pix(config)# ping 192.168.1.1 192.168.1.1 response received 0ms 192.168.1.1 response received 0ms 192.168.1.1 response received 0ms Tại command-prompt của PC , thực hiện ping : C:\> ping 209.162.1.2 Ping 209.162.1.2 with 32 bytes of data : Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128 Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128 Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128 Reply from 209.162.1.2 : bytes = 32 time<10ms TTL = 128 Bật debug lên để quan sát : Pix(config)#debug icmp trace 39: Outbound ICMP echo request (len 32 id 3 seq 12800) 10.10.10.10 > 209.162.1.9 > 209.162.1.2 40: Inbound ICMP echo reply (len 32 id 3 seq 12800) 209.162.1.2 > 209.162.1.9 > 10.10.10.10 41: Outbound ICMP echo request (len 32 id 3 seq 13056) 10.10.10.10 > 209.162.1.9 > 209.162.1.2 42: Inbound ICMP echo reply (len 32 id 3 seq 13056) 209.162.1.2 > 209.162.1.9 > 10.10.10.10 C:\> ping 172.16.1.2 Ping 172.16.1.2 with 32 bytes of data : Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128 Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128 Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128 Reply from 172.16.1.2 : bytes = 32 time<10ms TTL = 128 Pix# 43: Outbound ICMP echo request (len 32 id 3 seq 13312) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 44: Inbound ICMP echo reply (len 32 id 3 seq 13312) 172.16.1.2 > 172.16.1.5 > 10.10.10.10 45: Outbound ICMP echo request (len 32 id 3 seq 13568) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 46: Inbound ICMP echo reply (len 32 id 3 seq 13568) 172.16.1.2 > 172.16.1.5 > 10.10.10.10 47: Outbound ICMP echo request (len 32 id 3 seq 13824) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 48: Inbound ICMP echo reply (len 32 id 3 seq 13824) 172.16.1.2 > 172.16.1.5 > 10.10.10.10 49: Outbound ICMP echo request (len 32 id 3 seq 14080) 10.10.10.10 > 172.16.1.5 > 172.16.1.2 50: Inbound ICMP echo reply (len 32 id 3 seq 14080) 172.16.1.2 > 172.16.1.5 > 10.10.10.10 Kiểm tra quá trình translation : Pix(config)# show xlate 2 in use, 2 most used Global 172.16.1.5 Local 10.10.10.10 Global 209.162.1.9 Local 10.10.10.10 dmz#ping 172.16.1.5 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.5, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 100/180/200 ms 2530#ping 209.162.1.9 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 209.162.1.9, timeout is 2 seconds: Success rate is 100 percent (5/5), round-trip min/avg/max = 104/180/200 Kiểm tra các host inside có thể truy cập internet (mạng outside) Error! Bây giờ ta tạo một access-list cho outbound traffic như sau : - từ chối outbound web traffic - cho phép outbound traffic còn lại Cấu hình như sau : Tạo một access-list có tên là aclout . Pix(config)# access-list aclout deny tcp any any eq www Pix(config)#access-list aclout permit tcp host 10.10.10.10 host 172.16.1.2 eq www =>mặc dù không cần thiết nhưng ta vẫn cấu hình cho phép các host trong mạng inside được phép đi web đến dmz . Pix(config)# access-list aclout permit ip any any Pix# sh access-list aclout access-list aclout; 3 elements access-list aclout deny tcp any any eq www (hitcnt=6) access-list aclout permit tcp host 10.10.10.10 host 172.16.1.2 eq www (hitcnt=0) access-list aclout permit ip any any (hitcnt=45) Áp access-list aclout vào interface inside bằng lệnh access-group Pix(config)# access-group aclout in interface inside Kiểm tra : Error! ð từ PC không thể đi web ra mạng ngoài được . Sau khi hoàn tất , thực hiện lưu cấu hình vào flash : Pix(config)# write memory