CISCO-PIX506E详细配置以及命令注释（七）

原创

两年砍柴 2010-09-17 12:01:32 博主文章分类：技术心得 ©著作权

文章标签 CISCO 详细配置 PIX506E 命令注释 CISCO，PIX506E，详细配置，命 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者两年砍柴的原创作品，请联系作者获取转载授权，否则将追究法律责任

（3）益高电动车制造有限公司的CISCO-PIX506E详细配置

: Saved

PIX Version 6.3(5) ---- PIX当前的操作系统版本为6.3

interface ethernet0 auto ----设定防火墙外网端口E0 速率为auto

interface ethernet1 auto ----设定防火墙内网端口E1 速率为auto

nameif ethernet0 outside security0 ----设定防火墙外网端口E0名称为outside安全级别为0

nameif ethernet1 inside security100 ----设定防火墙内网端口E1名称为inside安全级别为100

enable password 8Ry2YjIyt7RRXU24 encrypted ----配置防火墙特权配置模式的密码（此密码为加密的）

passwd 2KFQnbNIdI.2KYOU encrypted ----配置防火墙TELNET 远程登陆的密码

hostname eagle ----设定防火墙的名称

fixup protocol dns maximum-length 512 ----防火墙默认启用的协议和端口号

fixup protocol ftp 21 ----防火墙默认启用的协议和端口号

fixup protocol h323 h225 1720 ----防火墙默认启用的协议和端口号

fixup protocol h323 ras 1718-1719 ----防火墙默认启用的协议和端口号

fixup protocol http 80 ----防火墙默认启用的协议和端口号

fixup protocol rsh 514 ----防火墙默认启用的协议和端口号

fixup protocol rtsp 554 ----防火墙默认启用的协议和端口号

fixup protocol sip 5060 ----防火墙默认启用的协议和端口号

fixup protocol sip udp 5060 ----防火墙默认启用的协议和端口号

fixup protocol skinny 2000 ----防火墙默认启用的协议和端口号

fixup protocol smtp 25 ----防火墙默认启用的协议和端口号

fixup protocol sqlnet 1521 ----防火墙默认启用的协议和端口号

fixup protocol tftp 69 ----防火墙默认启用的协议和端口号

access-list nonat permit ip 10.0.0.0 255.0.0.0 192.168.1.0 255.255.255.0

----建立名为nonat的访问控制列表，且允许10.0.0.0这个网段不通过NAT转换，直接穿过nat去访问192.168.1.0这个网段

access-list nonat permit ip 192.168.0.0 255.255.255.0 10.0.0.0 255.0.0.0

----建立名为nonat的访问控制列表，且允许192.168.1.0这个网段不通过NAT转换，直接穿过nat去访问10.0.0.0这个网段

access-list nonat permit ip 172.16.1.0 255.255.255.0 192.168.1.0 255.255.255.0

----建立名为nonat的访问控制列表，且允许172.16.1.0这个网段不通过NAT转换，直接穿过nat去访问192.168.1.0这个网段

access-list nonat permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0

----建立名为nonat的访问控制列表，且允许192.168.0.0这个网段不通过NAT转换，直接穿过nat去访问172.16.1.0这个网段

access-list 110 permit ip 192.168.0.0 255.255.255.0 172.16.1.0 255.255.255.0

-----建立名为110的访问控制列表，且允许192.168.0.0这个网段不通过NAT转换，直接穿过nat去访问172.16.1.0这个网段

access-list 110 permit ip 172.16.1.0 255.255.255.0 192.168.0.0 255.255.255.0

----建立名为110的访问控制列表，且允许172.16.1.0这个网段不通过NAT转换，直接穿过nat去访问192.168.1.0这个网段

pager lines 24 ----配置的时候每24行一分页（自动默认）

mtu outside 1500 ----以太网标准的MTU长度为1500字节（自动默认）

mtu inside 1500 ----以太网标准的MTU长度为1500字节（自动默认）

ip address outside 58.211.149.78 255.255.255.248 ----设置防火墙外网端口的IP地址

ip address inside 172.16.1.1 255.255.255.0 ----设置防火墙内网端口的IP地址

ip audit info action alarm

ip audit attack action alarm

----pix入侵检测的2个命令。当有数据包具有攻击或报告型特征码时，pix将采取报警动作（缺省动作），向指定的日志记录主机产生系统日志消息

ip local pool vpnpool 192.168.1.1-192.168.1.255

----建立名为vpnpool的地址池，起始地址段为 192.168.1.1-192.168.1.255

pdm history enable ----PIX设备管理器可以图形化的监视（自动默认）

arp timeout 14400 ----arp表的超时时间（自动默认）

global (outside) 1 interface ----定义内部网络地址将要翻译成的全局地址出口

nat (inside) 0 access-list nonat

----使得符合访问列表为nonat的地址不通过翻译，对外部网络是可见的

nat (inside) 1 0.0.0.0 0.0.0.0 0 0 ----内部全部地址都可以转换出去

conduit permit icmp any any ----设置管道：允许任何地址都可进行PING测试

route outside 0.0.0.0 0.0.0.0 58.211.149.73 1 ----设置默认路由到网关出口

timeout xlate 3:00:00

----某个内部设备向外部发出的ip包经过翻译(global)后，在缺省3个小时之后此数据包若没有活动，此前创建的表项将从翻译表中删除，释放该设备占用的全局地址（自动默认）

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00

timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout sip-disconnect 0:02:00 sip-invite 0:03:00

timeout uauth 0:05:00 absolute

----AAA认证的超时时间，absolute表示连续运行uauth定时器，用户超时后，将强制重新认证（自动默认）

aaa-server TACACS+ protocol tacacs+ ----AAA认证服务协议（自动默认）

aaa-server TACACS+ max-failed-attempts 3 ----AAA认证服务协议（自动默认）

aaa-server TACACS+ deadtime 10 ----AAA认证服务协议（自动默认）

aaa-server RADIUS protocol radius ----AAA认证服务协议（自动默认）

aaa-server RADIUS max-failed-attempts 3 ----AAA认证服务协议（自动默认）

aaa-server RADIUS deadtime 10 ----AAA认证服务协议（自动默认）

aaa-server LOCAL protocol local ----AAA认证服务协议（自动默认）

no snmp-server location ----无snmp-server工作站的位置（自动默认）

no snmp-server contact ----无snmp-server工作站的联系人（自动默认）

snmp-server community public ----snmp-server工作站的通讯（自动默认）

no snmp-server enable traps ----发送snmp陷阱（自动默认）

floodguard enable ----防止有人伪造大量认证请求，将pix的AAA资源用完

sysopt connection permit-ipsec ----允许进行ipsec连接

crypto ipsec transform-set eagle esp-des esp-md5-hmac ----定义一个名称为eagle的交换集

crypto dynamic-map dynamap 10 set transform-set eagle

----根据eagle交换集产生名称为dynmap的动态加密图集

crypto map mymap 10 ipsec-isakmp dynamic dynamap

----将dynmap动态加密图集应用为IPSEC的策略模板

crypto map mymap client configuration address initiate

----指示PIX防火墙试图为每个对等体设置IP地址

crypto map mymap client configuration address respond

----指示PIX防火墙接受来自任何请求对等体的IP地址请求

crypto map mymap interface outside ----将加密图应用到防火墙的外部接口

isakmp enable outside ----在外部接口启用IKE协商

isakmp identity address ----isakmp身份设置成接口的IP地址

isakmp client configuration address-pool local vpnpool outside

----将××× client地址池绑定到isakmp

isakmp nat-traversal 20 ----IKE策略穿越NAT

isakmp policy 20 authentication pre-share ----预共享密钥作为认证手段

isakmp policy 20 encryption des ----指定56位DES作为将被用于IKE策略的加密算法

isakmp policy 20 hash md5 ----指定MD5 (HMAC变种)作为将被用于IKE策略的散列算法

isakmp policy 20 group 2 ----指定1024比特Diffie-Hellman组将被用于IKE策略

isakmp policy 20 lifetime 86400 ----每个安全关联的生存周期为86400秒（1天）

vpngroup vpntest address-pool vpnpool

----定义××× client:vpntest拨入使用的vpngroup所分配的IP池

vpngroup vpntest dns-server 61.177.7.1 ----定义××× client:vpntest拨入使用的电信DNS来解析

vpngroup vpntest split-tunnel 110

----定义××× client:vpntest符合名为110的访问控制列表允许通过隧道传输

vpngroup vpntest idle-time 1800 ----定义vpngroup的空闲时间

vpngroup vpntest password ******** ----定义××× client:vpntest的密码为********

telnet timeout 5 ----TELNET登录超时时间

ssh timeout 5 ----SSH超时时间

console timeout 0

terminal width 80

Cryptochecksum:d341e9092b1b3f71f8100c1d45eeb8cc

: end

上一篇：CISCO-PIX506E详细配置以及命令注释（六）

下一篇：ThinkPad预装Windows 7的分区方法(Windows压缩卷)

提问和评论都可以，用心的回复会被更多人看到评论

发布评论

相关文章

官方博客	全部文章	热门标签	班级博客
了解我们	网站地图	意见反馈

鸿蒙开发者社区	51CTO学堂
51CTO	软考资讯