tính toán , phụ thuộc vào số serial mà ta có và phụ thuộc vào ta yêu cầu những gì . Số serial đó có được là dựa vào Flash . Do đó nếu ta sử dụng Flash khác , ta phải thay đổi activation key . Khi ta muốn kích hoạt một chức năng nào đó trong PIX , ta phải trả tiền để thực hiện điều này , để có key ta phải gửi serial number của PIX đến Cisco , Cisco sẽ gửi lại cho ta key được tạo ra từ serial number đó . Có 3 lí do quan trọng để upgrade hay thay đổi activation key là : - Cisco PIX firewall không kích hoạt failover - Pix không kích hoạt VPN - Khi ta cần nâng cấp từ connection-based license lên feature- based license . Để có được thông tin về activation key , serial number , sử dụng show version command . Câu lệnh này cung cấp thông tin về code version , thông tin về phần cứng … pixfirewall(config)# sh version Cisco PIX Firewall Version 6.3(1) Cisco PIX Device Manager Version 3.0(1) Compiled on Wed 19-Mar-03 11:49 by morlee pix up 27 mins 25 secs Hardware: PIX-506E, 32 MB RAM, CPU Pentium II 300 MHz Flash E28F640J3 @ 0x300, 8MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: ethernet0: address is 000f.23ac.53f6, irq 10 1: ethernet1: address is 000f.23ac.53f7, irq 11 Licensed Features: Failover: Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE peers: Unlimited This PIX has a Restricted (R) license. Serial Number: 808036792 (0x3029a9b8) Running Activation Key: 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Configuration last modified by enable_15 at 23:52:55.403 UTC Sun Mar 6 2005 Licensing : Về tổng quan , licensing được phân thành 3 loại đó là unrestricted , restricted , và failover . Việc dùng unrestricted hay restricted license là phụ thuộc vào số interface mà ta cần sử dụng ở PIX . Ví dụ đối với PIX 515 với unrestricted license cung cấp đến 6 interface . Quan sát lại những thông tin khi show version ở phía trên , ta thấy license là restricted cho phép tối đa cho pix là 2 interface ( inside và outside ) , đối với PIX 515 thì restricted cho phép tối đa là 3 interface ( thêm một interface dmz nữa ) . Do đó , muốn có unrestricted và failover license , ta phải nâng cấp activation key mới . Đối với các PIX OS có version trước version 6.2 , activation key được thay đổi trong mode monitor . Từ version 6.2 trở về sau cho phép ta nâng cấp hay thay đổi license bằng cách thay đổi key ở CLI ( command line interface ) . Thực hiện điều này bằng câu lệnh sau : activation-key license# license# : là key mà ta có được với license mới . ví dụ : activation-key 0x9a5c6f78 0x67304d0a 0xed4c2329 0x89dd199b Sau khi thay đổi activation key , ta phải reboot PIX firewall để kích hoạt license mới. Nếu PIX được nâng cấp đến một version mới hơn và thay đổi activation key , ta phải reboot PIX 2 lần -1 lần sau khi cài đặt image mới , một lần sau khi activation key mới được cấu hình . Lưu ý là khi nâng cấp lên version mới hơn , những chức năng đã được kích hoạt từ version cũ thì không cần key . Nếu ta thay đổi image của PIX với version cũ hơn , phải đảm bảo rằng activation key đang chạy trong hệ thống không tác động đến các version cao hơn trước khi cài đặt version thấp hơn . Nếu có thì ta cần phải thay đôỉ activation key đó cho thích hợp với version thấp hơn trước khi cài đặt và reboot . Nếu không hệ thống có thể không cho phép ta reload lại sau khi đã cài đặt software mới . 4. Password recovery : Để vào chế độ enable trong PIX , cần phải biết password . Password được lưu trong PIX sử dụng mã hóa MD5 , không phải ở dạng clear-text . Trong trường hợp quên hoặc mất password console hoặc telnet vào PIX , giống như hầu hết các sản phẩm của Cisco , PIX cũng cung cấp các thủ tục để khôi phục password . Không giống như Cisco router là khôi phục password bằng cách thay đổi thanh ghi cấu hình , PIX sử dụng một phương pháp khác . Khôi phục password có thể được thực hiện trên PIX firewall bằng cách sử dụng một file khôi phục password đặc biệt . Thực hiện khôi phục password a trên PIX không có xóa cấu hình , chỉ có xóa password . Phụ thuộc vào | các dòng sản phẩm của PIX mà ta có các phương pháp khôi phục password khác nhau . Thủ tục khôi phục pasword trong PIX bằng đĩa mềm khác với khôi phục password ở các thiết bị PIX không có đĩa . Sự khác nhau ở đây là PIX sẽ boot như thế nào với file mà ta sử dụng trong quá trình đó . Đối với PIX có đĩa mềm sẽ boot từ đĩa , còn những PIX không có đĩa (diskless) sẽ boot từ TFTP server . Bên cạnh binary file cần cho khôi phục password , ta còn cần các thành phần sau : - Laptop hoặc là PC - Terminal-emulating software - TFTP software (cần cho các pix boot từ tftp) - Công cụ rawrite.exe (cần cho các pix có đĩa mềm để tạo đĩa boot) a. Khôi phục password cho các PIX 506 , 515 , 525 , 535 bằng TFTP Khôi phục password cho các model này (các model không có đĩa mềm) cần phải có TFTP server . Quá trình khôi phục như sau : Bước 1 : download file npxx.bin với xx là version OS đang chạy trong PIX . Ví dụ PIX đang chạy version 5.3(1) (biết được bằng cách show version) thì file cần down là np53.bin ?Note : file np53.bin làm việc với tất cả các PIX OS 5.3(x) . Bước 2 : chép file đó vào máy có cài TFTP server Bước 3 : reboot PIX firewall , sau khoảng 10giây trong quá trình reboot . Nhấn nút Escape hoặc Ctrl – Break để ngắt quá trình reboot , đưa Pix vào chế độ monitor monitor> Bước 4 : chỉ ra interface của PIX firewall dùng cho TFTP . Để sử dụng interface inside , dùng câu lệnh sau : monitor > interface 1 Bước 5 : chỉ ra địa chỉ của interface PIX firewall monitor> address ip_address Bước 6 : chỉ ra default gateway (điều này chỉ cần thiết trong trường hợp có mô hình là pix-router-TFTP server ) monitor> gateway ip_address Bước 7 : chỉ ra địa chỉ của TFTP server monitor>server ip_address_server Bước 8 : kiểm tra kết nối đển TFTP server bằng cách ping đến TFTP server monitor> ping ip_address_server Bước 9 : chỉ ra filename của file dùng để khôi phuc password mà ta đã download trước đó monitor> file npxx.bin Bước 10 : khởi động chương trình TFTP . monitor> tftp b. khôi phục password cho các pix 510 , 520 bằng đĩa mềm : Bước 1 : Download file npxx.bin (với xx là version của OS đang chạy trong PIX ) . Bước 2 : Chép file rawrite.exe vào cùng đường dẫn với OS version password mà ta đã download trước đó . Bước 3 : Sau khi đã có được 2 file này , mở MS-DOS Window : C :\> rawrite Bước 4 : Reboot PIX firewall với đĩa mềm mà ta vừa tạo ra . Khi có dấu nhắc xuất hiện , sử dụng y để xóa password : Do you wish to erase the passwords? [yn] y Hệ thống sẽ tự động xóa password và bắt đầu reboot . 5. Nâng cấp Cisco PIX OS : Có 3 thủ tục để nâng cấp PIX OS , và việc sử dụng thủ tục nào là do PIX OS đang chạy trong PIX và PIX model quyết định . - Có thể sử dụng copy tftp flash command ( đối với các PIX sử dụng software version 5.1 trở về sau thực hiện command này ở mode privileged ) - Nâng cấp OS ở monitor mode . Thủ tục này giống như thủ tục trên nhưng chỉ khác ở mode mà ta sử dụng khi copy file từ tftp server . Đối với các thiết bị PIX không có đĩa mềm bên trong (501 ,506 , 515 , 525 , 535 ) sẽ thực hiện nâng cấp image từ monitor mode . Đối với các PIX sử dụng version 5.0 trở về trước cần có một đĩa boothelper để tạo ra boothelper mode , . Disabled VPN-DES: Enabled VPN-3DES-AES: Enabled Maximum Interfaces: 2 Cut-through Proxy: Enabled Guards: Enabled URL-filtering: Enabled Inside Hosts: Unlimited Throughput: Unlimited IKE. password , ta còn cần các thành phần sau : - Laptop hoặc là PC - Terminal-emulating software - TFTP software (cần cho các pix boot từ tftp) - Công cụ rawrite.exe (cần cho các pix có đĩa mềm để. thay đổi activation key là : - Cisco PIX firewall không kích hoạt failover - Pix không kích hoạt VPN - Khi ta cần nâng cấp từ connection-based license lên feature- based license . Để có được