Cisco PIX 515E安裝維護手冊

==================

  文檔約定

================== 

（）表示註釋； 

==================

  登錄Pix515E

==================

1.、telnet 192.168.0.1

   User Access Verification

   Password:（輸入密碼出現以下信息：）

   Type help or '?' for a list of available commands.

   weibo>

   （此時是PIX 515E的無特權模式，此模式只能查看，而且只能查看防火牆的系統信息）

  /**************chase*********************/

2.、enable（進入特權模式，出現以下信息）

   password:（輸入密碼進入特權模式）

   weibo#（weibo>變爲weibo#）

   （在特權模式下只能查看放火牆的配置不能修改防火牆的配置，用disable退出特權模式返回無特權模式）

  /*************chase*********************/

3.、con t（進入配置模式，出現以下信息）

   weibo(config)#（weibo#變爲weibo(config)#）

   （在配置模式才能修改防火牆的配置，用exit、quit退出配置模式到特權模式）

====================

     修改密碼

====================

一、password whr（把telnet的密碼修改成whr）

二、 enable password whr（把特權模式的密碼修改成whr）

三、修改×××撥入密碼

   no isakmp key ******** address 0.0.0.0 netmask 0.0.0.0（刪除共享密匙）

   isakmp key whr address 0.0.0.0 netmask 0.0.0.0     （設置共享密匙）

   vpdn username chase （刪除chase用戶）

   vpdn username chase password whr  （設置用戶名爲chase；密碼爲whr；密碼要與共享密匙相同）

=====================

      查看命令

=====================

一、show ver（查看系統信息）

二、show run（查看防火牆運行配置）

三、show conn （查看防火牆IP鏈接信息）

四、show ip address（查看防火牆IP地址）

 

=====================

    激活以太端口

=====================

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto

interface ethernet3 auto

======================

   命名端口與安全級別

======================

interface ethernet0 auto

interface ethernet1 auto

interface ethernet2 auto

interface ethernet3 auto

=======================

  配置以太端口ip 地址

=======================

ip address outside 61.233.203.114 255.255.255.192

ip address inside 192.168.0.1 255.255.255.0

ip address dmz 172.16.0.1 255.255.255.0

ip address e3 61.233.203.47 255.255.255.192

=======================

      配置DHCP

=======================

dhcpd address 192.168.0.2-192.168.0.254 inside（DHCP的IP地址範圍）

dhcpd dns 211.98.2.4 211.98.4.1（DHCP的DNS）

dhcpd enable inside（啓用inside內網口的dhcpd服務）

=======================

      配置路由

=======================

route outside 0.0.0.0 0.0.0.0 61.233.203.65 1（配置outside使用61.234.204.65的網關）

route e3 0.0.0.0 0.0.0.0 61.233.203.1 2

=======================

  配置遠程telnet訪問

=======================

telnet 192.168.0.1 255.255.255.255 inside（開啓內網口的telnet服務）

telnet 192.168.0.0 255.255.255.0 inside（容許全部內網用戶訪問telnet服務）

telnet 0.0.0.0 0.0.0.0 e3

telnet 61.233.203.47 255.255.255.255 e3

=======================

      配置NAT

=======================

一、配置內網到×××不作NAT

   access-list 107 permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0

  （創建內網-->×××的訪問列表）

   nat (inside) 0 access-list 107 （內網-->×××不作NAT，引用上一步access-list 107）

二、配置內網到DMZ 作NAT

   access-list 102 permit tcp 192.168.0.0 255.255.255.0 host 172.16.0.103 eq 1433

   access-list 102 permit tcp 192.168.0.0 255.255.255.0 host 172.16.0.103 eq 3125

   nat (inside) 2 access-list 102（內網-->DMZ作NAT，引用上一步access-list 102）

三、配置內網到Internet 作NAT

   access-list 101 permit ip 192.168.0.0 255.255.255.0 any

   nat (inside) 1 access-list 101 0 0

四、配置DMZ到×××不作NAT

   access-list 107 permit ip 172.16.0.0 255.255.255.0 172.16.1.0 255.255.255.0 

  （創建內網-->×××的訪問列表）

   nat (DMZ) 0 access-list 107

四、配置×××到DMZ不作NAT

   access-list 150 permit ip 172.16.1.0 255.255.255.0 172.16.0.0 255.255.255.0

  （創建內網-->×××的訪問列表）

   nat (e3) 0 access-list 150

=======================

      配置映射

=======================

static (inside,outside) tcp 61.233.203.114 80 192.168.0.116 80 netmask 255.255.255.255 0 0

static (inside,outside) tcp 61.233.203.114 20 192.168.0.116 20 netmask 255.255.255.255 0 0

static (inside,outside) tcp 61.233.203.114 21 192.168.0.116 21 netmask 255.255.255.255 0 0

（從61.233.203.114-->192.168.0.116的映射）

=======================

      配置×××

=======================

ip local pool pigpool 172.16.1.1-172.16.1.240  （創建×××的地址空間）

sysopt connection permit-ipsec（開啓系統ipsec端口）

sysopt connection permit-pptp（開啓系統pptp端口）

sysopt connection permit-l2tp（開啓系統l2tp端口）

isakmp enable e3 （e3接口啓用isakmp）

isakmp policy 8 encryption des（定義phase 1協商用DES加密算法）

isakmp policy 8 hash md5（定義phase 1協商用MD5散列算法）

isakmp policy 8 authentication pre-share（定義phase 1使用pre-shared key進行認證）

isakmp key pix address 0.0.0.0 netmask 0.0.0.0（定義使用共享密匙pix）   

isakmp client configuration address-pool local pigpool e3（將××× client地址池綁定到isakmp）

isakmp policy 8 group 2（isakmp policy 10 group 2）

crypto ipsec transform-set strong-des esp-3des esp-sha-hmac（定義一個變換集strong-des）

crypto dynamic-map cisco 4 set transform-set strong-des（把strong-des添加到動態加密策略cisco）

crypto map partner-map 20 ipsec-isakmp dynamic cisco（把動態加密策略綁定到partner-map 加密圖）

crypto map partner-map client configuration address initiate（定義給每一個客戶端分配IP地址）

crypto map partner-map client configuration address respond（定義PIX防火牆接受來自任何IP的請求）

crypto map partner-map interface e3（把動態加密圖***peer綁定到e3口）

vpdn group 2 accept dialin l2tp

vpdn group 2 ppp authentication pap

vpdn group 2 client configuration address local pigpool

vpdn group 2 client authentication local

vpdn group 2 l2tp tunnel hello 80

vpdn username pix password pix（設置***密碼，密碼必須與共享密匙同樣）

vpdn enable e3

=======================

   ***本地身份驗證

=======================

crypto map ***peer client authentication LOCAL

username whr password whr

no username whr

 

=======================

   備份cisco PIX 515E的配置的所有數據

=======================

show tech-support