rpc 0:10:00 h323 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute aaa-server TACACS+ protocol tacacs+ aaa-server RADIUS protocol radius aaa-server LOCAL protocol local no snmp-server location no snmp-server contact snmp-server community public no snmp-server enable traps floodguard enable no sysopt route dnat telnet timeout 5 ssh timeout 5 terminal width 80 Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end Error! Cấu hình hostname cho Pix : pixfirewall(config)#hostname Pix Pix(config)# Error! Cấu hình cho các interface : · Đặt tên và level security cho các interface Pix(config)#nameif e0 outside sec0 Pix(config)#nameif e1 inside sec100 Pix(config)#nameif e2 dmz sec50 · Up các interface đó lên : Pix(config)# interface et1 auto Pix(config)# interface ethernet0 auto Pix(config)# interface e2 auto Để kiểm tra xem các interface đã up lên chưa , sử dụng câu lệnh show interface PIX(config)# sh interface interface ethernet0 "outside" is up, line protocol is up Hardware is i82559 ethernet, address is 000d.bda1.831d IP address 127.0.0.1, subnet mask 255.255.255.255 MTU 1500 bytes, BW 10000 Kbit half duplex 53 packets input, 9948 bytes, 0 no buffer Received 53 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/1) output queue (curr/max blocks): hardware (0/0) software (0/0) interface ethernet1 "inside" is up, line protocol is up Hardware is i82559 ethernet, address is 000d.bda1.831e IP address 127.0.0.1, subnet mask 255.255.255.255 MTU 1500 bytes, BW 100000 Kbit full duplex 133 packets input, 22702 bytes, 0 no buffer Received 133 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max blocks): hardware (128/128) software (0/1) output queue (curr/max blocks): hardware (0/0) software (0/0) interface ethernet2 "dmz" is up, line protocol is up Hardware is i82559 ethernet, address is 0002.b3d5.285d IP address 127.0.0.1, subnet mask 255.255.255.255 MTU 1500 bytes, BW 10000 Kbit half duplex <omitted> ð Câu lệnh show interface cho phép user xem thông tin về interface ethernet , Token Ring , FDDI . Thông tin về interface nào là phụ thuộc cái nào được cài đặt trong pix . Trong trường hợp này là Ethernet . Ta có thể xem một số thông tin sau : - Ethernet , Token Ring , FDDI : cho ta biết user đã sử dụng interface command để cấu hình interface . Cho biết interface là inside hay là outside . - Line protocol up : cho biết cable hoạt động tốt (layer 1 connectivity) - Line protocol down : cho biết hoặc là cable cắm vào interface không đúng , hoặc là nó không được cắm vào interface connector . - Network interface type : chỉ ra network interface - Mac address : cho biết địa chỉ MAC - IP address : chỉ ra địa chỉ Ip được đăng kí cho interface , địa chỉ mặc định là 127.0.0.1 với subnet mask là 255.255.255.255 - MTU : kích thước được tính bằng byte mà dữ liệu có thể được gửi đi tốt nhất qua mạng . - Line speed : tốc độ của interface , 10BaseT là 10000Kbps , 100BaseT là 100000Kbps - Line duplex status : chỉ ra rằng pix đang chạy full- duplex hay là half-duplex . v.v · Đăng kí địa chỉ cho interface : Pix(config)# ip address inside 10.10.10.1 255.255.255.0 Pix(config)# ip address outside 209.162.1.1 255.255.255.0 Pix(config)# ip address dmz 172.16.1.1 255.255.255.0 Xem thông tin về địa chỉ của các interface , sử dụng show ip address command : Pix# sh ip add System IP Addresses: ip address outside 209.162.1.1 255.255.255.0 ip address inside 10.10.10.1 255.255.255.0 ip address dmz 172.16.1.1 255.255.255.0 Current IP Addresses: ip address outside 209.162.1.1 255.255.255.0 ip address inside 10.10.10.1 255.255.255.0 ip address dmz 172.16.1.1 255.255.255.0 Error! Cấu hình cho router 2530 : Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname 2503 2503(config)#int e0 2503(config-if)#ip add 209.162.1.2 255.255.255.0 2503(config-if)#no shut 2503(config-if)#exit 2503(config)#ip http server 2503(config)#enable pass cisco 2503(config)#line vty 0 4 2503(config-line)#no login 2503(config-line)#exit 2503(config)#int loopback 0 2503(config-if)#ip add 192.168.1.1 255.255.255.0 2503(config-if)#exit 2503(config)#exit Error! Cấu hình cho router dmz : Router>en Router#conf t Enter configuration commands, one per line. End with CNTL/Z. Router(config)#hostname dmz dmz(config)#int e0 dmz(config-if)#ip add 172.16.1.2 255.255.255.0 dmz(config-if)#no shut dmz(config-if)#exit dmz(config)#line vty 0 4 dmz(config-line)#no login dmz(config-line)#exit dmz(config)#ip http server dmz(config)#enable pass cisco dmz(config)#exit Error! Kiểm tra kết nối Như ta đã biết mặc định các host trong một mạng chỉ ping được interface của pix mà mạng đó kết nối tới . Pix# ping inside 10.10.10.10 10.10.10.10 response received 0ms 10.10.10.10 response received 0ms 10.10.10.10 response received 0ms 2503#ping 209.162.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 209.162.1.1, timeout is 2 seconds: . Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Pix(config)# ping 209.162.1.2 209.162.1.2 response received 0ms 209.162.1.2 response received 0ms 209.162.1.2 response received 0ms dmz#ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: . Success rate is 80 percent (4/5), round-trip min/avg/max = 1/1/1 ms Pix# ping dmz 172.16.1.2 172.16.1.2 response received 0ms 172.16.1.2 response received 0ms 172.16.1.2 response received 0ms Error! Cấu hình translation : Pix(config)# route outside 0.0.0.0 0.0.0.0 209.162.1.2 1 Pix(config)# nat (inside) 1 0 0 0 Pix(config)# global (outside) 1 209.162.1.30 Global 209.162.1.30 will be Port Address Translated Pix(config)# static (dmz,outside) 209.162.1.10 172.16.1.2 Pix(config)# static (inside,outside) 209.162.1.9 10.10.10.10 Pix(config)# static (inside,dmz) 172.16.1.5 10.10.10.10