思科ASA和PIX防火墙配置手册

network

思科ASA和PIX防火墙配置手册
一、            配置基础
1.1用户接口
思科防火墙支持下列用户配置方式：
Console，Telnet，SSH（1.x或者2.0，2.0为7.x新特性，PDM的http方式（7.x以后称为ASDM）和VMS的Firewall Management Center。
支持进入Rom Monitor模式，权限分为用户模式和特权模式，支持Help，History和命令输出的搜索和过滤。
注：Catalyst6500的FWSM没有物理接口接入，通过下面CLI命令进入：
Switch# session slot slot processor 1 （FWSM所在slot号）
用户模式：
Firewall> 为用户模式，输入enable进入特权模式Firewall#。特权模式下可以进入配置模式，在6.x所有的配置都在一个全局模式下进行，7.x以后改成和IOS类似的全局配置模式和相应的子模式。通过exit，ctrl-z退回上级模式。
配置特性：
在原有命令前加no可以取消该命令。Show running-config 或者 write terminal显示当前配置，7.x后可以对show run 的命令输出进行搜索和过滤。Show running-config all显示所有配置，包含缺省配置。Tab可以用于命令补全，ctrl-l可以用于重新显示输入的命令（适用于还没有输入完命令被系统输出打乱的情况），help和history相同于IOS命令集。
Show命令支持 begin，include，exclude，grep 加正则表达式的方式对输出进行过滤和搜索。
Terminal width 命令用于修改终端屏幕显示宽度，缺省为80个字符，pager命令用于修改终端显示屏幕显示行数，缺省为24行，pager lines 0命令什么效果可以自己试试。
1.2防火墙许可介绍
防火墙具有下列几种许可形式，通过使用show version命令可以看设备所支持的特性：
Unrestricted (UR) 所有的限制仅限于设备自身的性能，也支持Failover
Restricted (R) 防火墙的内存和允许使用的最多端口数有限制，不支持Failover
Failover (FO) 不能单独使用的防火墙，只能用于Failover
Failover-Active/Active (FO-AA) 只能和UR类型的防火墙一起使用，支持active/active failover
注：FWSM内置UR许可。
activation-key 命令用于升级设备的许可，该许可和设备的serial number有关（show version输出可以看到），6.x为16字节，7.x为20字节。
1.3初始配置
跟路由器一样可以使用setup进行对话式的基本配置。

network

二、 配置连接性
2.1配置接口
接口基础：
防火墙的接口都必须配置接口名称，接口IP地址和掩码（7.x开始支持IPv6）和安全等级。接口可以是物理接口也可以是逻辑接口（vlan），从6.3?贾С?lt;/SPAN>trunk，但只支持802.1Q封装，不支持DTP协商。
接口基本配置：
注：对于FWSM所有的接口都为逻辑接口，名字也是vlan后面加上vlanid。例如FWSM位于6500的第三槽，配置三个接口，分别属于vlan 100,200,300.
Switch(config)# firewall vlan-group 1 100,200,300
Switch(config)# firewall module 3 vlan-group 1
Switch(config)# exit
Switch# session slot 3 processor 1
经过此配置后形成三个端口vlan100.vlan200,vlan300
PIX 6.x
Firewall(config)# interface hardware-id [hardware-speed] [shutdown] （Hardware-id可以用show version命令看到）
PIX 7.x
Firewall(config)# interface hardware-id
Firewall(config-if)# speed {auto | 10 | 100 | nonegotiate}
Firewall(config-if)# duplex {auto | full | half}
Firewall(config-if)# [no] shutdown
命名接口
FWSM 2.x
Firewall(config)# nameif vlan-id if_name securitylevel
PIX 6.x
Firewall(config)# nameif {hardware-id | vlan-id} if_name securitylevel
PIX 7.x
Firewall(config)# interface hardware_id[.subinterface]
Firewall(config-if)# nameif if_name
Firewall(config-if)# security-level level
注：Pix 7.x和FWSM 2.x开始支持不同接口有相同的security level，前提是全局配置模式下使用same-security-traffic permit inter-interface命令。
配置IP地址
静态地址：Firewall(config)# ip address if_name ip_address [netmask]
动态地址：Firewall(config)# ip address outside dhcp [setroute] [retry retry_cnt]
注：setroute参数可以同时获得来自DHCP服务器的缺省路由，再次输入此命令可以renew地址。
PPPOE：Firewall(config)# vpdn username JohnDoe password JDsecret
Firewall(config)# vpdn group ISP1 localname JohnDoe
Firewall(config)# vpdn group ISP1 ppp authentication chap
Firewall(config)# vpdn group ISP1 request dialout pppoe
Firewall(config)# ip address outside pppoe setroute
验证接口
Firewall# show ip
IPv6地址配置（7.x新特性）
暂略
ARP配置
配置一个静态的ARP条目：Firewall(config)# arp if_name ip_address mac_address [alias]
配置timeout时间：Firewall(config)# arp timeout seconds 缺省为4小时
注：一般情况下使用clear arp会清除所有的ARP缓存，不能针对单个的条目，但是可以通过以下变通方法：配置一个静态的条目，映射有问题的ip为一个假的mac地址，然后no掉该命令就会重新建立一个arp条目。
MTU和分段
配置MTU：Firewall(config)# mtu if_name bytes 使用show mtu (6.3) 或者show running-config mtu (7.x)来验证
分段（fragment）的几个命令：限制等待重组的分段数Firewall(config)# fragment size database-limit [if_name]
限制每个包的分段数Firewall(config)# fragment chain chain-limit [if_name]
限制一个数据包分段到达的时间Firewall(config)# fragment timeout seconds [if_name]
配置接口的优先队列（7.x新特性）
暂略
2.2配置路由
启用PRF防止地址欺骗 Firewall(config)# ip verify reverse-path interface if_name
配置静态路由Firewall(config)# route if_name ip_address netmask gateway_ip [metric]
配置RIP
被动听RIP更新(v1，v2)Firewall(config)# rip if_name passive [version 1] （Firewall(config)# rip if_name passive version 2 [authentication [text | md5 key (key_id)]]）
宣告该接口为缺省路由Firewall(config)# rip if_name default version [1 | 2 [authentication [text | md5 key key_id]]
配置OSPF
定义OSPF进程 Firewall(config)# router ospf pid
指定相应网络到OSPF区域 Firewall(config-router)# network ip_address netmask area area_id
可选：定义Router ID Firewall(config-router)# router-id ip_address
记录OSPF邻居状态更新 Firewall(config-router)# log-adj-changes [detail]
启用OSPF更新认证 Firewall(config-router)# area area_id authentication [message-digest]宣告缺省路由 Firewall(config-router)# default-information originate [always] [metric value] [metric-type {1 | 2}] [route-map name]调节OSPF参数 Firewall(config-router)# timers {spf spf_delay spf_holdtime |lsa-group-pacing seconds}
2.3 DHCP
配置成为DHCP Server：
配置地址池 Firewall(config)# dhcpd address ip1[-ip2] if_name  （最多256个客户端）
配置DHCP参数 Firewall(config)# dhcpd dns dns1 [dns2] Firewall(config)# dhcpd wins wins1 [wins2] Firewall(config)# dhcpd domain domain_name Firewall(config)# dhcpd lease lease_length  Firewall(config)# dhcpd ping_timeout timeout
启用DHCP服务 Firewall(config)# dhcpd enable if_name
验证：show dhcdp, show dhcpd bindings, show dhcpd statistics
配置DHCP中继：
定义真实DHCP Server Firewall(config)# dhcprelay server dhcp_server_ip server_ifc(最多4个)
中继参数Firewall(config)# dhcprelay timeout seconds Firewall(config)# dhcprelay setroute client_ifc
启用中继 Firewall(config)# dhcprelay enable client_ifc
验证 show dhcprelay statistics
2.4组播的支持
暂略

network

一、防火墙的管理
3.1 使用Security Context建立虚拟防火墙（7.x特性）
特性介绍：从PIX7.0和FWSM 2.2(1)开始，可以把物理的一个防火墙配置出多个虚拟的防火墙，每个防火墙称为context，这样一个防火墙就支持两种工作模式：single-context和multiple-context，处于后者工作模式的防火墙被分为三个功能模块：system execution space(虽然没有context的功能，但是是所有的基础)，administrative context(被用来管理物理的防火墙) 和 user contexts(虚拟出来的防火墙，所有配置防火墙的命令都适用)
配置：首先使用show activation-key来验证是否有multiple-context的许可，然后通过mode multiple和mode single命令在这两个模式之间进行切换，当然也可以用show mode来验证现在工作在什么模式下。在不同context下进行切换使用Firewall# changeto {system | context name}，由于所有的context的定义都必须在system execution space下，所以要首先使用changeto system转入该模式，Firewall(config)# context name 接着要把物理接口映射到context中 只要这样才能在相应的context下显示出物理接口，从而配置其属性 Firewall(config-ctx)# allocate-interface physical-interface [map-name] 最后定义context 的startup-config的存放位置Firewall(config-ctx)# config-url url  通过show context验证
注：当防火墙工作在multiple-context模式下，admin context就自动生成。(show context来验证)
由于所有的context都共享设备的资源，所以要限制各个context的资源分配
首先定义class Firewall(config)# class name 然后Firewall(config-class)# limit-resource all number% Firewall(config-class)# limit-resource [rate] resource_name number[%] 最后在相应的context配置下Firewall(config-ctx)# member class
通过以下命令验证 show class， show resource allocation, show resource usage等
注：缺省telnet，ssh，IPsec 5 sessions，MAC address 65535条目
3.2 管理Flash文件系统
6.x文件系统
只有六种文件可以保存到Flash，没有文件名只有代号，没有目录结构
0 OS镜像 1 启动文件 2 VPN和密匙证书 3 PDM镜像 4 崩溃信息 5 0的文件大小
show flashfs 显示flash文件
7.x和FWSM文件系统
7.x和FWSM更像IOS的文件系统，具有层级目录，要被格式化后才可以使用，7.x使用flash:/代表Flash文件系统，FWSM分别使用flash:/ (系统镜像)和disk:/(配置文件)
由于该系统使用类Unix的指令，所以可以使用下列常用命令来对该文件系统操作：
dir pwd cd more delete copy rename mkdir rmdir format erase fsck(检查文件系统完整性)
6.x在Flash里面只能保存一个系统镜像，7.x则废除了此种限制通过使用Firewall(config)# boot system flash:filename来选取不同的系统镜像，show bootvar进行验证
OS升级 见附录
3.3 管理配置文件
7.0以后可以使用多个启动配置文件Firewall(config)# boot config url
显示启动配置文件Firewall# show startup-config Firewall# show configuration (6.x为show configure)
保存当前配置文件 write memory, copy running-config startup-config, write net [[server-ip-address]:[filename]] (7.x也支持copy至tftp)
强制standby同步当前配置文件 write standby 删除启动配置文件 write erase
合并启动配置文件为当前配置文件 configure memory 从Web导入配置文件configure http://[user:password@]location[:port]/ http-pathname  (7.x支持copy自以上源)
合并配置文件自自动更新服务器
Firewall(config)# auto-update device-id {hardware-serial | hostname |
ipaddress [if_name] | mac-address [if_name] | string text}
Firewall(config)# auto-update server http://[username:password@]
  AUSserver-IP-address[:port]/autoupdate/AutoUpdateServlet
  [verify-certificate]
3.4 管理管理会话
Firewall(config)# console timeout minutes 配置console登录的超时(缺省0不超时)
禁止来自outside端口的telnet，启用telnet Firewall(config)# telnet ip_address netmask if_name   Firewall(config)# telnet timeout minutes 配置telnet超时
启用SSH配置
首先生成RSA密匙对 Firewall(config)# domain-name name Firewall(config)# ca generate rsa key [modulus] (7.x 使用crypto key generate rsa general-keys [modulus modulus]) Firewall(config)# ca save all (7.x自动保存)
使用show ca mypubkey rsa来验证(7.x show crypto key mypubkey rsa) ca zeroize rsa作废原有密匙对(7.x crypto key zeroize rsa default)
最后允许ssh会话 Firewall(config)# ssh ip_address netmask if_name
ssh version命令可以选择ssh的版本，ssh timeout定义超时时间
PDM/ASDM配置
由于PDM存放位置固定，所以不需要指定镜像的位置，ASDM使用Firewall(config)# asdm image device:/path 来指定镜像位置，如果没有可以使用copy命令来安装。然后配置访问许可Firewall# http ip_address subnet_mask if_name 启用HTTP进程Firewall# http server enable 使用https://ip-address/admin来访问。
Banner配置 Firewall(config)# banner {exec | login | motd} text  对banner不能修改，只能用no来删除，或者clear banner来清除所有的banner（7.0 clear configure banner）
监控管理会话 who监控telnet会话 kill telnet-id来清除会话，show ssh sessions监控ssh会话，ssh disconnect session-id清除ssh会话，show pdm sessions监控pdm会话，pdm disconnect session-id清除pdm会话
3.5 系统重启和崩溃
通常使用reload命令重启系统，从7.0以后支持在特定的时间重启系统Firewall# reload at hh:mm [month day | day month] [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text]或者经过一定的时间间隔后重启Firewall# reload in {minutes | hh:mm} [max-hold-time {minutes | hhh:mm}] [noconfirm] [quick] [save-config] [reason text]
启用崩溃信息生成 Firewall(config)# crashinfo save enable (7.0 no crashinfo save disable) show crashinfo 来看崩溃信息 clear crashinfo删除信息（FWSM使用crashdump）
3.6       SNMP支持
系统SNMP信息 Firewall(config)# snmp-server location string (contact string)
SNMP访问许可 Firewall(config)# snmp-server host if_name ip_addr [poll | trap]
Firewall(config)# snmp-server community key

network

四、用户管理

4.1 一般用户管理

注：缺省情况下认证用户仅需要password，这样的一般用户缺省用户名就是enalbe_1,在ssh情况下缺省用户名就是pix，然后用password来认证。

非特权模式密码配置 Firewall(config)# {password | passwd} password [encrypted] (恢复缺省密码cisco 用clear {password | passwd})

特权模式密码配置 Firewall(config)# enable password [pw] [level priv_level] [encrypted]

4.2 本地数据库管理用户

定义用户 Firewall(config)# username username [{nopassword | password password}

  [encrypted]] privilege level

启用本地认证 Firewall(config)# aaa authentication {serial | telnet | ssh | http} console LOCAL

注：缺省情况特权模式密码使用enable password定义，这样用户通过认证后使用enable来进入特权模式，而不管用户初始什么等级的权限，所有用户使用相同的密码。这里也可以使用本地enable认证(aaa authentication enable console LOCAL)，用户使用username password的密码来进入enable，用户enable密码独立从而增加安全性。

本地授权：Firewall(config)# aaa authorization command LOCAL

配置命令的特权等级：Firewall(config)# privilege {show | clear | configure} level level [mode {enable | configure}] command command

使用show privilege来看当前命令的特权等级(7.x使用show run all privilege)

4.3 使用AAA服务器来管理用户

定义AAA服务器组和协议 Firewall(config)# aaa-server server_tag protocol {tacacs+ | radius} (7.x还增加了kerberos,ldap,nt,sdi协议的支持)

加入服务器到组 Firewall(config)# aaa-server server_tag [(if_name)] host server_ip [key] [timeout seconds]

可选命令

定义服务器失败阀值 FWSM Firewall(config)# aaa-server server_tag max-attempts number

PIX 6.x Firewall(config)# aaa-server server_tag max-failed-attempts number

PIX 7.x Firewall(config-aaa-server-group)# max-failed-attempts number

定义统计策略(7.x特性) Firewall(config-aaa-server-group)# accounting-mode {single | simultaneous}

具体各协议参数配置暂略

4.4 配置AAA管理用户

启用鉴权 Firewall(config)# aaa authentication {serial | telnet | ssh | http} console

  server_tag [LOCAL]

启用授权 Firewall(config)# aaa authorization command server_tag [LOCAL]

启用统计 Firewall(config)# aaa accounting command [privilege level] server_tag

注：AAA服务器配置略

4.5 配置AAA支持用户Cut-Through代理



4.6 密码恢复

network

五 防火墙的访问控制

5.1 防火墙的透明模式

特性介绍：从PIX 7.0和FWSM 2.2开始防火墙可以支持透明的防火墙模式，接口不需要配置地址信息，工作在二层。只支持两个接口inside和outside，当然可以配置一个管理接口，但是管理接口不能用于处理用户流量，在多context模式下不能复用物理端口。由于连接的是同一地址段的网络，所以不支持NAT，虽然没有IP地址但是同样可以配置ACL来检查流量。

进入透明模式 Firewall(config)# firewall transparent (show firewall 来验证当前的工作模式，由于路由模式和透明模式工作方式不同，所以互相切换的时候会清除当前配置文件)

配置接口 Firewall(config)# interface hardware-id

Firewall(config-if)# speed {auto | 10 | 100 |nonegotiate}

Firewall(config-if)# duplex {auto | full | half}

Firewall(config-if)# [no] shutdown

Firewall(config-if)# nameif if_name

Firewall(config-if)# security-level level

注：不用配置IP地址信息，但是其它的属性还是要配置的，接口的安全等级一般要不一样，same-security-traffic permit inter-interface命令可以免除此限制。

配置管理地址 Firewall(config)# ip address ip_address subnet_mask

Firewall(config)# route if_name foreign_network foreign_mask gateway [metric]

MAC地址表的配置 Firewall# show mac-address-table 显示MAC地址表

Firewall(config)# mac-address-table aging-time minutes 设置MAC地址表过期时间

Firewall(config)# mac-address-table static if_name mac_address 设置静态MAC条目

Firewall(config)# mac-learn if_name disable 禁止特定接口地址学习(show mac-learn验证)

ARP检查 Firewall(config)# arp if_name ip_address mac_address 静态ARP条目

Firewall(config)# arp-inspection if_name enable [flood | no-flood] 端口启用ARP检查

为非IP协议配置转发策略 Firewall(config)# access-list acl_id ethertype {permit | deny} {any | bpdu | ipx | mpls-unicast | mpls-multicast | ethertype}

Firewall(config)# access-group acl_id {in | out} interface if_name

5.2 防火墙的路由模式和地址翻译

特性介绍：从高安全等级到低安全等级的访问称为outbound访问，需要配置地址翻译和outbound访问控制，PIX缺省情况下不用配置ACL就允许此类访问，FWSM则需要配置ACL来允许此类型的访问。而从低安全等级到高安全等级的访问称为inboud访问，也需要配置地址翻译和inboud访问控制，此类型必须配置ACL.同一安全等级的访问也可以配置地址翻译。

支持下列几种NAT类型

Translation Type
Application
Basic Command
Direction in Which Connections Can Be Initiated

Static NAT
Real source addresses (and ports) are translated to mapped addresses (and ports)
static
Inbound or outbound

Policy NAT
Conditionally translates real source addresses (and ports) to mapped addresses
static access-list
Inbound or outbound

Identity NAT
No translation of real source addresses
nat 0
Outbound only

NAT exemption
No translation of real source addresses matched by the access list
nat 0 access-list
Inbound or outbound

Dynamic NAT
Translates real source addresses to a pool of mapped addresses
nat id

global id address-range
Outbound only

PAT
Translates real source addresses to a single mapped address with dynamic port numbers
nat id

global id address
Outbound only


配置

对于连接数的控制 PIX 6.x ... [norandomseq] [max_conns [emb_limit]]

PIX 7.x  ... [norandomseq] [[tcp] max_conns [emb_limit]] [udp udp_max_conns]

连接超时控制 Firewall(config)# timeout [conn hh:mm:ss] [udp hh:mm:ss]

静态NAT

基于地址的静态翻译 Firewall(config)# static (real_ifc,mapped_ifc) {mapped_ip | interface} {real_ip [netmask mask]} [dns] [norandomseq] [max_conns [emb_limit]]

基于端口的静态翻译 Firewall(config)# static (real_ifc,mapped_ifc) {tcp | udp} {mapped_ip | interface} mapped_port {real_ip real_port [netmask mask]} [dns] [norandomseq] [max_conns [emb_limit]]

策略NAT

定义翻译策略 Firewall(config)# access-list acl_name permit ip real_ip real_mask foreign_ip foreign_mask

静态的 Firewall(config)# static (real_ifc,mapped_ifc) mapped_ip access-list acl_name [dns] [norandomseq] [max_conns [emb_limit]]

NAT的 Firewall(config)# global (mapped_ifc) nat_id {global_ip [-global_ip] [netmask global_mask]} | interface

Firewall(config)# nat (real_ifc) nat_id access-list acl_name [dns] [outside][norandomseq] [max_conns [emb_limit]]

Identify NAT Firewall(config)# nat (real_ifc) 0 real_ip real_mask [dns] [norandomseq] [max_conns [emb_limit]]

注：nat 0和static 相同地址的区别在于：nat 0只能用于outbound访问，static两种访问都可以，对同一地址不建议同时配置此两类命令。

NAT Exemption

Firewall(config)# access-list acl_name permit ip local_ip local_mask foreign_ip foreign_mask

Firewall(config)# nat (real_ifc) 0 access-list acl_name [dns] [outside] [max_conns [emb_limit] [norandomseq]]

注：此类型NAT策略只能根据源和目的地址不能根据协议类型或者端口

动态地址翻译

定义NAT的映射地址 Firewall(config)# global (mapped_ifc) nat_id global_ip[-global_ip] [netmask global_mask]

定义PAT的映射地址 Firewall(config)# global (mapped_ifc) nat_id {global_ip | interface}

定义翻译策略 Firewall(config)# nat (real_ifc) nat_id real_ip [mask [dns] [outside] [[norandomseq] [max_conns [emb_limit]]]

注：也可以使用ACL来做类似的策略NAT。

5.3 使用ACL进行访问控制

特性介绍：防火墙的ACL配置跟IOS不同，子网掩码部分为正常的子网掩码不需要使用反转的子网掩码。还支持Object group，包含IP地址组，ICMP类型组，IP协议或者端口组，并且支持组嵌套。access-list acl_name compiled配置Turbo ACL，7.x自动turbo。防火墙的ACL缺省是扩展模式的，7.x后也支持标准模式了尽管只用于路由协议的配置上，并且加上了extend的参数，虽然配置的时候可以不必强制用这个参数但是当你需要移除该条目的时候要记得把extend这个参数加上。

配置

定义Object Group

网络对象组 Firewall(config)# object-group network group_id

Firewall(config-network)# description text

Firewall(config-network)# network-object ip_addr mask (或者 host ip_addr)

Firewall(config-network)# group-object group_id

ICMP对象组 Firewall(config)# object-group icmp-type group_id

Firewall(config-icmp-type)# description text

Firewall(config-icmp-type)# icmp-object icmp_type

Firewall(config-icmp-type)# group-object group_id

协议对象组 Firewall(config)# object-group protocol group_id

Firewall(config-protocol)# description text

Firewall(config-protocol)# protocol-object protocol

Firewall(config-protocol)# group-object group_id

服务对象组 Firewall(config)# object-group service group_id {tcp | udp | tcp-udp}

Firewall(config-service)# description text

Firewall(config-service)# port-object range begin_port end_port (或者eq port)

Firewall(config-service)# group-object group_id

定义时间范围 7.0特性

Firewall(config)# time-range name

Firewall(config-time-range)# periodic start-day hh:mm to end-day hh:mm

Firewall(config-time-range)# periodic days-of-the-week hh:mm to hh:mm

Firewall(config-time-range)# absolute [start hh:mm day month year] [end hh:mm day month year]

配置ACL Firewall(config)# access-list acl_id [line line-num] [extended] {permit | deny}

   {protocol | object-group protocol_obj_group}   {source_addr  source_mask | object-group  network_obj_group} [operator sport | object-group service_obj_group]

   {destination_addr destination_mask |object-group network_obj_group}

[operator dport | object-group service_obj_group] [log [[disable | default] | [level]]] [interval secs]] [time-range name] [inactive]


show access-list 来验证， clear access-list acl_id counters 重置ACL计数器

network

六 配置Failover增加可用性

特性介绍：为了增强可用性，避免单点故障，提高性能等原因才引入了Failover的特性。Active-Standby是最初支持的一种特性，其中一台是UR的许可，另一台为UR或者Failover-only的许可，FWSM缺省支持此中模式，在该模式下一个为Active工作状态，Standby只是监控Active的状态而不工作，这样就在性能上虽然有两台设备但是并没有得到加强。在7.x以后由于引入了context的概念，这样Active-Active另一种Failover的特性也出现了，在每个context下有自己的active和standby，配置每个设备在不同context下的角色从而使其都工作，也增加了性能，但是此模式只被PIX515E，525,535和ASA平台支持。

6.1 配置Failover

确定主备用的设备：一种方式是通过不同的许可来决定，如果两者都是UR的许可，对于适用serial连接的根据线缆两端的主备用标识来决定，如果适用lan的话使用下面的命令来决定，Firewall(config)# failover lan unit {primary | secondary}

配置lan使用的端口

FWSM 2.x Firewall(config)# failover interface ip if_name ip_address mask standby ip_address

PIX 6.x Firewall(config)# interface phy_if phy_speed

Firewall(config)# nameif phy_if if_name securitylevel

Firewall(config)# ip address if_name ip_address netmask

Firewall(config)# failover ip address if_name ip_address

PIX 7.x  Firewall(config)# interface phy_if

Firewall(config-if)# speed speed

Firewall(config-if)# duplex duplex

Firewall(config-if)# no shutdown

Firewall(config-if)# exit

Firewall(config)# failover interface ip if_name ip_address mask standby ip_address

定义用于Failover通讯的接口

FWSM 2.x Firewall(config)# failover lan interface if_name vlan vlan

PIX 6.x  Firewall(config)# failover lan interface if_name

PIX 7.x  Firewall(config)# failover lan interface if_name phy_if

也可以使用failover lan key key-string命令对通讯进行加密

failover lan enable 启用lan-based failover，FWSM缺省使用此模式，不需要此命令。

对于Active-Active模式需要在主设备的system execution space下配置Failover组，

Firewall(config)# failover group {1 | 2}

Firewall(config-fover-group)# {primary | secondary}

Firewall(config-fover-group)# preempt

对接口使用虚拟的MAC地址

PIX 6.x Firewall(config)# failover mac address if_name active_mac standby_mac

PIX 7.x (A-S) Firewall(config)# failover mac address phy_if active_mac standby_mac

PIX 7.x (A-A)  Firewall(config)# failover group {1 | 2}

Firewall(config-fover-group)# mac address phy_if  active_mac standby_mac

定义健康监控策略

PIX 6.x Firewall(config)# failover poll time

PIX 7.x Firewall(config)# failover polltime [unit] [msec] time [holdtime holdtime]

Firewall(config)# failover polltime interface time

Firewall(config)# failover interface-policy num[%]

Firewall(config)# monitor-interface if_name

保持HTTP的状态信息 Firewall(config)# failover replicate http

Firewall(config)# failover 启用Failover进程

6.2 管理Failover

show failover命令对状态进行监控，后面可以加state,lan, history,等参数。

(no)Failover active手动的对状态进行切换,重置一个失败的设备failover reset。对于不能同步的挂起设备使用failover reload-standby强制重启。

6.3 升级Failover模式防火墙的OS镜像

见附录

network

七 配置负载均衡

特性介绍：虽然使用Failover保证了高可用性，但是在流量分担上还有劣势，尽管7.x支持了A-A的模式，不过也仅仅只能是两台防火墙。真正的负载均衡的实现有三种方式，第一为软件方式，使用6500平台上IOS SLB(Server Load Balancing)特性的一个子集FWLB来实现，第二为硬件方式，在6500上配置CSM(Content Switching Module)来实现，最后一种为专属设备方式，思科的CSS(Content Services Switch)产品线的设备来实现。要注意的是在配置负载均衡的时候要inside和outside同时配置，免得出现来回链路不同而被丢弃的情况。

7.1 配置软件实现 (只在6500 native ios模式下)

定义防火墙群的连接性 Router(config)# vlan vlan-id

Router(config)# interface vlan vlan-id

Router(config-if)# ip address ip-address subnet-mask

Router(config-if)# no shutdown

Router(config)# ip route inside-network subnet-mask fw-outside-address

定义针对每个防火墙失败的探测器 Router(config)# ip slb probe name ping

Router(config-slb-probe)# address ip-address

Router(config-slb-probe)# interval seconds

Router(config-slb-probe)# faildetect retry-count

定义防火墙群 Router(config)# ip slb firewallfarm firewallfarm-name

Router(config-slb-fw)# real ip-address

Router(config-slb-fw-real)# probe probe-name

Router(config-slb-fw-real)# inservice

Router(config-slb-fw-real)# weight weighting-value

定义特定的数据流到该防火墙群(只针对Outside)

Router(config-slb-fw)# access [source source-ip-address network-mask]

  [destination destination-ip-address network-mask]

选择FWLB的方式 Router(config-slb-fw)# predictor hash address [port]

启用FWLB Router(config-slb-fw)# inservice

7.2 配置硬件实现

进入CSM负载均衡模式 Switch(config)# ip slb mode csm

选择CSM模块 Switch(config)# module csm slot-number

配置到离开防火墙群的连接性 Switch(config-module-csm)# vlan vlan-id client

Switch(config-slb-vlan-client)# ip address ip-address netmask

Switch(config-slb-vlan-client)# gateway ip-address

Switch(config-slb-vlan-client)# exit

配置到防火墙群的连接性 Switch(config-module-csm)# vlan vlan-id server

Switch(config-slb-vlan-server)# ip address ip-address netmask

Switch(config-slb-vlan-server)# alias ip-address netmask

Switch(config-slb-vlan-server)# route ip-address netmask gateway gw-ip-address

定义防火墙探测器 Switch(config-module-csm)# probe probe-name icmp

Switch(config-slb-probe-icmp)# interval seconds

Switch(config-slb-probe-icmp)# receive receive-timeout

Switch(config-slb-probe-icmp)# retries retry-count

Switch(config-slb-probe-icmp)# failed failed-interval

定义防火墙群 Switch(config-module-csm)# serverfarm serverfarm-name

Switch(config-slb-sfarm)# real ip-address

Switch(config-slb-real)# inservice

Switch(config-slb-sfarm)# predictor hash address {source | destination} 255.255.255.255

Switch(config-slb-sfarm)# no nat server

Switch(config-slb-sfarm)# probe probe-name

定义一个虚拟服务器来处理发往服务器群的流量

Switch(config-module-csm)# vserver virtual-server-name

Switch(config-slb-vserver)# serverfarm serverfarm-name

Switch(config-slb-vserver)# virtual ip-address [network-mask] any

Switch(config-slb-vserver)# vlan vlan-number

Switch(config-slb-vserver)# inservice

Switch(config-slb-vserver)# replicate csrp {sticky | connection}

定义一个通用服务器群处理离开防火墙群的流量

Switch(config-module-csm)# serverfarm serverfarm-name

Switch(config-slb-sfarm)# predictor forward

Switch(config-slb-sfarm)# no nat server

定义一个通用的虚拟服务器处理离开防火墙群的流量

Switch(config-module-csm)# vserver virtual-server-name

Switch(config-slb-vserver)# serverfarm serverfarm-name

Switch(config-slb-vserver)# virtual 0.0.0.0 0.0.0.0  any

Switch(config-slb-vserver)# vlan vlan-number

Switch(config-slb-vserver)# inservice

7.3 配置CSS实现

配置CSS的物理接口 (config) interface interface_name

(config-if) bridge vlan vlan-id (或者(config-if) trunk)

指定IP地址 (config) circuit circuit_name

(config-circuit) ip address ip_address subnet_mask

(config-circuit-ip) enable

配置缺省路由 (config) ip route 0.0.0.0 0.0.0.0 next-hop-address

定义防火墙群的防火墙 (config) ip firewall index local_firewall_address remote_firewall_address  remote_css_address

定义静态路由 (config) ip route ip_address subnet_mask firewall index distance

调整Keeplive时间 (config) ip firewall timeout seconds

验证命令 show ip firewall 防火墙状态，show ip routes firewall到防火墙的静态路由，show flows显示到防火墙的负载均衡连接。

network

八、日志管理

8.1 时钟管理

定义时区 Firewall(config)# clock timezone zone-name hours [minutes]

定义夏令时 Firewall(config)# clock summer-time zone recurring [week weekday month

  hh:mm week weekday month hh:mm] [offset]

Firewall(config)# clock summer-time zone date {day month | month day}

  year hh:mm {day month | month day} year hh:mm [offset]

设置防火墙时钟 Firewall(config)# clock set hh:mm:ss {day month | month day} year

时钟验证 Firewall# show clock [detail]

指定NTP服务器 Firewall(config)# ntp server ip-address [key number] [source if-name]

  [prefer]

配置NTP认证 Firewall(config)# ntp authentication-key key-number md5 value

Firewall(config)# ntp trusted-key key-number

Firewall(config)# ntp authenticate

NTP验证 show ntp, show ntp status, show ntp associations

8.2 日志配置

启用消息日志 Firewall(config)# logging on (7.x 用logging enable)

使用事件列表定义日志策略 (7.0特性)

Firewall(config)# logging list event_list level level [class event_class]

Firewall(config)# logging list event_list message start[-end]

根据不同日志级别定义目的位置 (7.0特性)

Firewall(config)# logging class event_class destination level [destination level] [destination level] ...

发送日志到console Firewall(config)# logging console level

发送日志到telnet，ssh会话 Firewall(config)# logging monitor level

发送日志到buffer Firewall(config)# logging buffered level

发送日志到ftp (7.0特性) Firewall(config)# logging ftp-bufferwrap

Firewall(config)# logging ftp-server ftp_server path username password

发送日志到flash (7.0特性) Firewall(config)# logging flash-bufferwrap

Firewall(config)# logging flash-minimum-free kbytes_free

Firewall(config)# logging flash-maximum-allocation kbytes_max

发送日志到SNMP服务器 Firewall(config)# snmp-server host [if_name] ip_addr trap (7.x

Firewall(config)# snmp-server host if_name ip_addr TRap [community string] [version version] [udp-port port])

Firewall(config)# snmp-server enable traps {all | syslog}

Firewall(config)# logging history level

发送日志到Syslog服务器 Firewall(config)# logging trap level

Firewall(config)# logging device-id {hostname | ipaddress if_name | string text}

Firewall(config)# logging host if_name ip_address [protocol/port] [format emblem]

Firewall(config)# logging timestamp

Firewall(config)# logging queue queue_size (show logging queue验证)

Firewall(config)# logging facility facility

Firewall(config)# logging standby

发送日志到邮件 (7.x特性) Firewall(config)# logging mail {level | event-list}

Firewall(config)# smtp-server server_primary [server_secondary]

Firewall(config)# logging from-address from_email_address

Firewall(config)# logging recipient-address to_email_address [level level]

发送日志到ASDM Firewall(config)# logging asdm-buffer-size num_of_msgs

Firewall(config)# logging asdm {level | event-list}

验证 show logging

8.3 日志消息输出的微调

消息的修剪 Firewall(config)# no logging message message-number (show logging message 验证)

改变消息严重等级 Firewall(config)# logging message message-number [level level]

配置日志对ACL支持 Firewall(config)# access-list acl_name {permit | deny} ... log [level] [interval seconds]

Firewall(config)# access-list deny-flow-max n

Firewall(config)# access-list alert-interval seconds

8.4 日志分析

对日志分析的软件

CS-MARS  (http://www.cisco.com)

Network Intelligence Engine (http://www.network-intelligence.com)

Network Security Analyzer和FirewallAnalyzer Enterprise (http://www.eiqnetworks.com)

Sawmill Log Analyzer (http://www.sawmill.net)

CiscoWorks (http://www.cisco.com)

network

思科ASA和PIX防火墙配置手册 第九章
九、防火墙工作状态验证

9.1 防火墙健康检查

CPU负荷 Firewall# show cpu usage (show cpu usage context all 正常应该在80%以下)

Show processes显示防火墙当前活动进程，一般关注Process和Runtime。

内存利用 Firewall# show memory

Xlate 表大小 Firewall# show xlate count

Conn 表大小 Firewall# show conn count

防火墙流量 使用PDM，Syslog, show traffic来计算或者Perfmon计数器 Firewall# show perfmon  Firewall(config)# perfmon interval seconds ,perfmon {verbose | quiet}

Inspection引擎和Service Policy  Firewall# show service-policy

Failover Firewall# show failover

端口状态 Firewall# show interface, 包队列状态 Firewall# show priority-queue statistics [if_name]

9.2 流经防火墙数据的监控

特性介绍 对于流经防火墙数据的监控有两种方式capture session和debug packet，两者区别在于前者可以后处理，多个进程，CPU和内存利用率低，后者是实时显示，同时只能一个进程，且对资源利用率高，后者在7.x后已经不被支持。

配置Capture

配置兴趣流量的ACL Firewall(config)# access-list acl_id [line line-num] [extended] permit protocol {source_addr  source_mask [operator sport] [destination_addr destination_mask [operator dport]]

配置Capture Firewall# capture capture_name [access-list acl_name] [ethernet-type type]

  [interface if-name] [buffer bytes] [circular-buffer] [packet-length bytes]

(7.x支持type {raw-data | isakmp | asp-drop drop-reason}参数)

show capture显示当前的Capture会话，Firewall# show capture capture_name [access-list acl_name] [detail] [dump] 显示所抓包的信息。Firewall# copy capture:capture-name tftp://server/path [pcap] 拷贝信息至TFTP，如果启用http后可以用https://firewall_address/capture/capture_name[/pcap]通过Web来显示或者下载。

clear capture capture_name清空capture缓存但是保持会话，no capture capture_name interface if_name停止capture，从特定接口去除保持会话和缓存，no capture capture_name彻底删除会话和缓存。

配置Debug模式 Firewall# debug packet if_name [src source_ip [netmask mask]] [dst dest_ip  [netmask mask]] [[proto icmp] | [proto {tcp | udp} [sport src_port] [dport

  dest_port]] [rx | tx | both]

9.3 验证防火墙的连接性

Ping测试 Firewall# ping [if_name] host [data pattern] [repeat count] [size bytes] [timeout seconds] [validate]

ARP缓存检查 show arp

路由表检查 show route

Traceroute测试 traceroute命令前提配置 Firewall(config)# access-list acl_name permit icmp any any eq echo

Firewall(config)# access-list acl_name permit icmp any any eq echo-reply

Firewall(config)# access-list acl_name permit icmp any any eq unreachable

Firewall(config)# access-list acl_name permit icmp any any eq time-exceeded

Firewall(config)# access-list acl_name permit udp any range 32768 65535 any range

  33434 33523

Firewall(config)# access-list acl_name permit udp any dns_address eq domain (可选)

ACL检查  show access-group, show access-list

NAT验证  Firewall# show xlate [detail] [global | local ip1[-ip2] [netmask mask]] lport |

  gport port[-port]] [interface if1[,if2][,ifn]] [state static [,dump]

  [,portmap] [,norandomseq] [,identity]] [debug] [count]

Firewall# show xlate [{global | local} ip1[-ip2] [netmask mask]] [{lport | gport}

  port[-port]] [interface if1[,if2][,ifn]] [state {static | portmap | identity |

  norandomseq}] [debug] [detail]

Firewall# show conn [state state_type] [{foreign | local} ip1[-ip2] netmask mask]

  [long] [{lport | fport} port1[-port2]] [protocol {tcp | udp}]

监控特定主机 Firewall# show local-host [ip_address] [all] [detail]

Firewall# clear xlate global global_ip [netmask mask] [gport global_port]

Firewall# clear xlate local local_ip [netmask mask] [lport local_port]

Firewall# clear xlate interface if_name_1[,if_name_2]

Firewall# clear xlate

超时参数Firewall(config)# timeout xlate hh[:mm[:ss]]

Firewall(config)# timeout conn hh[:mm[:ss]]

Firewall(config)# half-closed hh[:mm[:ss]]

Firewall(config)# udp hh[:mm[:ss]]

Shun检查 show shun， show shun statistics

用户认证检查 show uauth  show url-server stats

配置更新检查 启用AAA记录用户命令记录

network

Cisco PIX 防火墙的问题集锦如何允许外网用户Telnet至PIX的outside？
补充一下
Licensed Features:
VPN-DES: Enabled
VPN-3DES: Disabled

用SSH就可以。 telnet不可以！

对inside 倒dmz的访问，需要做nat配 CRIPT language=javascript src="/CMS/JS/newsad.js"> 置，对于dmz到inside的访问，需要做static 与access-list的配置。

PIX 515E连接ADSL 路由MODEM！

想知道E0口上怎么配置与开启路由的MODEM的连接。让内网所有用户可以都通过这个MODEM上网。
ADSL MODEM IP:192.168.1.1
pixfirwall(config)#vpdn group <组名> request dialout pppoe
pixfirwall(config)#vpdn group <组名> ppp auth PAP/CHAP/MSCHAP
pixfirwall(config)#vpdn group <组名> localname <拨号的用户名>
pixfirwall(config)#vpdn username <用户名> password <密码>
pixfirwall(config)#ip add <接口名称－随便定义> pppoe


我想通过在pix 515e 上进行设置使某些内网用户只能上一个特定的网站

当前配置如下:

PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
nameif ethernet0 outside security0
nameif ethernet1 inside security100

hostname pixfirewall
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
pager lines 24
mtu outside 1500
mtu inside 1500
ip address outside 61.155.88.82 255.255.255.252
ip address inside 10.10.3.253 255.255.255.0
ip audit info action alarm
ip audit attack action alarm
pdm history enable
arp timeout 14400
global (outside) 3 interface
nat (inside) 3 10.10.1.1 255.255.255.255 0 0
nat (inside) 3 10.10.1.9 255.255.255.255 0 0
nat (inside) 3 10.10.1.81 255.255.255.255 0 0
nat (inside) 3 10.10.1.82 255.255.255.255 0 0
nat (inside) 3 10.10.1.113 255.255.255.255 0 0
nat (inside) 3 10.10.1.161 255.255.255.255 0 0
nat (inside) 3 10.10.1.162 255.255.255.255 0 0
nat (inside) 3 10.10.1.165 255.255.255.255 0 0
nat (inside) 3 10.10.1.240 255.255.255.255 0 0
nat (inside) 3 10.10.2.240 255.255.255.248 0 0
nat (inside) 3 10.10.1.240 255.255.255.240 0 0
route outside 0.0.0.0 0.0.0.0 61.155.88.81 1
route inside 10.0.0.0 255.0.0.0 10.10.3.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc

0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media

0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
telnet timeout 5
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:72a261056ba18f4dbefab375fb871688
: end


是的，可以将针对这些主机的限制策略放在acl的最上端，应用在inside口的in的方向上。

你可以用支持时间的acl来做，也可以用tacacs来验证用户，定义downloaded acl


请教pix515 acl 如何屏蔽一个网段？

deny ip host 61.129.64.* any
61.129.64.*这样的网段该咋样屏蔽？


juechen70 (版主)
deny ip 61.129.64.0 255.255.255.0

csco10334975 (普通用户)
deny ip 61.129.64.0 255.255.255.0 any


mythis (普通用户)
access-list 100 deny ip 61.129.64.0 255.255.255.0 any


pix上启用了DHCP，不允许内网自动获取只允许DMZ自动获如何做。

dhcpd address 192.118.0.5-192.118.0.254 dmz
dhcpd enable dmz
dhcpd dns 219.141.136.10 218.247.141.68
这样就可以了！


pix7.0 如何在routed 和 transparent 两种方式中切换?
我的pix 515e 升级到pix7.01 我想使用 transparent 模式， 请大家教如何做了？

firewall transparent
no firewall transparent

在515E中配置DHCP网关的命令是什么
dhcpd enable inside


pix能不能实现dmz和inside透明模式呢？

有客户想把服务器搬到dmz区，但是服务器地址不变，这样除了透明模式我还想不到其他办法，inside和outside的透明模式我知道，但是

inside和dmz的透明模式怎么办？地址必须改变。透明桥模式下是没有DMZ概念的。地址不变也可以.做地址映射的时候翻译相同的地址就行了. 但是想搬到dmz区的机器和inside区的机器是同一网段的服务器和用户都是用一网段的，不改变地址怎么搞？

如何配置PIX透明模式?

首先，需要升级pix os到7.0.1
直接输入firewall transparent 命令就可以让PIX工作在透明模式下面。 工作在透明模式下时，pix相当于一条网线，故障切换由其它的三层设

备完成。
做防火墙的策略一般多是和端口对应的,外网在透明模式时怎样访问内网HTTI.HTTPS.PPTP,TCP/UDP-5060/1270


有一点，透明模式下必须设置管理地址才会通
有所变化，以前用ＰＩＸ５１５双机作ｆａｉｌｏｖｅｒ，pix os版本好像是６．３就不支持透明模式．看来透明模式的应用还是挺多的，可以做网络分区之间的安全隔离，最重要的是可以让动态路由协议穿过．


如何看用命令看这两台PIX支持的最大连接数（不是使用中的最大连接数，而是license所限制的最大连接数）
show ver.

为什么ping不通515E的outside地址？
PIX的版本是6.3(4)，设置了515E的outside地址和inside地址后，用网线将笔记本和515E的outside端口联起来，本本的地址和outside地址在

一个网段内，但总是ping不通outside地址，但同样的配置在6.2版本的515E上使用时是没有问题的，好奇怪啊？？

icmp pemit any outside

========================================================

pix vpn设置好了，DDN方式可以上，为什么家里的adsl不行？

配置如下：pix520

PIX Version 6.3(3)
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
nameif ethernet0 Outside security0
nameif ethernet1 inside security100
nameif ethernet2 Outside-DMZ security50
enable password GyBjREM5Y/fIjrzB encrypted
passwd enO4Olec9w1AmAwd encrypted
hostname PIX-yinhetech
domain-name test.cn
clock timezone CST 8
fixup protocol dns maximum-length 512
fixup protocol ftp 21
fixup protocol ftp 2121
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol http 80
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sip 5060
fixup protocol sip udp 5060
no fixup protocol skinny 2000
fixup protocol smtp 25
fixup protocol sqlnet 1521
fixup protocol tftp 69
names
name 10.128.1.0 notebookpoolIP
access-list nonat permit ip 10.10.0.0 255.255.0.0 notebookpoolIP 255.255.255.0
access-list 101 permit ip 10.10.0.0 255.255.0.0 any
access-list notebookpc_splitTunnelAcl permit ip 10.10.0.0 255.255.0.0 any
access-list notebookpc_splitTunnelAcl permit ip notebookpoolIP 255.255.255.0 any
access-list notebookpc_splitTunnelAcl permit ip host 10.6.4.11 any
access-list Outside_cryptomap_dyn_20 permit ip any notebookpoolIP 255.255.255.0
access-list Outside_cryptomap_dyn_20 permit ip notebookpoolIP 255.255.255.0 any
pager lines 24
logging on
logging standby
logging buffered debugging
logging trap notifications
icmp deny any Outside
mtu Outside 1500
mtu inside 1500
mtu Outside-DMZ 1500
ip address Outside ***.***.***.** 255.255.255.240
ip address inside 10.127.1.253 255.255.255.0
ip address Outside-DMZ 172.18.3.254 255.255.255.0
ip verify reverse-path interface Outside
ip verify reverse-path interface inside
ip audit info action alarm
ip audit attack action alarm
ip local pool notebookpool 10.128.1.1-10.128.1.250
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address Outside
no failover ip address inside
no failover ip address Outside-DMZ
pdm history enable
arp timeout 14400
global (Outside) 1 ***.***.***.** netmask 255.255.255.240
global (Outside-DMZ) 1 172.18.3.200-172.18.3.250 netmask 255.255.255.0
nat (inside) 0 access-list nonat
nat (inside) 1 10.0.0.0 255.128.0.0 0 0
access-group 101 in interface inside
route Outside 0.0.0.0 0.0.0.0 ***.***.***.** 1
route inside 10.0.0.0 255.128.0.0 10.127.1.254 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
http server enable
http 10.10.10.74 255.255.255.255 inside
http 10.10.10.88 255.255.255.255 inside
snmp-server host inside 10.10.10.10
snmp-server host inside 10.10.10.74
snmp-server location soft_yuan_internet
snmp-server contact bill
snmp-server community public
snmp-server enable traps
tftp-server inside 10.10.10.74 /
no floodguard enable
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto dynamic-map Outside_dyn_map 20 match address Outside_cryptomap_dyn_20
crypto dynamic-map Outside_dyn_map 20 set transform-set ESP-DES-MD5
crypto map Outside_map 65535 ipsec-isakmp dynamic Outside_dyn_map
crypto map Outside_map interface Outside
isakmp enable Outside
isakmp identity address
isakmp keepalive 60 5
isakmp nat-traversal 120
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption des
isakmp policy 20 hash md5
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
vpngroup notebookpc address-pool notebookpool
vpngroup notebookpc dns-server 10.10.10.68 202.103.224.68
vpngroup notebookpc default-domain yhgroup.cn
vpngroup notebookpc split-tunnel notebookpc_splitTunnelAcl
vpngroup notebookpc idle-time 1800
vpngroup notebookpc password ********
telnet 10.0.0.0 255.128.0.0 inside
telnet 10.10.10.110 255.255.255.255 inside
telnet 10.10.10.110 255.255.255.255 Outside-DMZ
telnet timeout 31
ssh timeout 5
console timeout 0
terminal width 80
Cryptochecksum:826ec1728f5df3bb3ecf0542790a4d35


surf_qj (普通用户)

对了，是使用cisco system VPN Client 4.01登录的，家里adsl可以连上VPN，但是不能访问，DDN就可以其实，不光是PIX问题，我用2620做的和你的也一样，用一般的ADSL是不行的，但如果是用带路由功能ADSL就可以。

isakmp nat-traversal 120
还有客户端NAT打开，估计是NAT穿透的问题吧。

========================================================

pix515的问题


具体现象是，DMZ和inside各接一台单机，DMZ的单机能用上网，其他不能，inside的机器什么都干不了。单机保证无问题。请各位帮忙看看配置吧。 outside的地址和global的地址不同，有影响么？（没有空闲的连续地址了,只能用两个不同地址表示一下）
PIX Version 6.2(2)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 dmz security50
enable password O53fPNRgHkA6IEsY encrypted
passwd TWjtI1emvjruV4SY encrypted
hostname jygatewall
domain-name 219.2.2.2
fixup protocol ftp 21
fixup protocol http 80
fixup protocol h323 h225 1720
fixup protocol h323 ras 1718-1719
fixup protocol ils 389
fixup protocol rsh 514
fixup protocol rtsp 554
fixup protocol sqlnet 1521
fixup protocol sip 5060
no fixup protocol skinny 2000
no fixup protocol smtp 25
names
access-list dmz_jygate_acl deny icmp any any
access-list dmz_jygate_acl permit udp any any eq domain
access-list dmz_jygate_acl permit tcp any any eq www
access-list dmz_jygate_acl permit udp any any eq 20
access-list dmz_jygate_acl permit tcp any host 219.150.1.1 eq 20817
access-list dmz_jygate_acl permit tcp any host 219.150.1..1eq 20820
access-list dmz_jygate_acl permit tcp any host 219.150.1.1 eq 8080
access-list dmz_jygate_acl permit tcp any host 219.150.1.1 eq 8383
access-list dmz_jygate_acl permit tcp any host 219.150.1.1 eq 32002
pager lines 24
interface ethernet0 100full
interface ethernet1 100full
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu dmz 1500
ip address outside 219.150.1.2 255.255.255.224
ip address inside 192.168.168.1 255.255.255.0
ip address dmz 172.172.172.1 255.255.0.0
ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address dmz 0.0.0.0
pdm history enable
arp timeout 14400
global (outside) 1 219.150.1.2
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
static (dmz,outside) 219.150.1.2 172.172.172.101 netmask 255.255.255.255 0 0

static (inside,dmz) 192.168.168.0 192.168.168.0 netmask 255.255.255.0 0 0
access-group dmz_jygate_acl in interface outside
access-group dmz_jygate_acl in interface dmz
route outside 0.0.0.0 0.0.0.0 219.150.1.3 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h323 0:05:00 si
p 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server LOCAL protocol local
no snmp-server location
no snmp-server contact
snmp-server community public
no snmp-server enable traps
floodguard enable
sysopt security fragguard
no sysopt route dnat
telnet timeout 5
ssh timeout 5
terminal width 80
Cryptochecksum:594b9bbf77abf8a342afee1764e4f7cd
: end


nyb0319 (普通用户)

no static (inside,dmz) 192.168.168.0 192.168.168.0 netmask 255.255.255.0 0 0
改为static (inside,dmz) 172.172.172.1 192.168.168.0 netmask 255.255.255.0 0 0

加一条

static (inside,outside)
219.150.1.2 192.168.168.0
netmask 255.255.255.0 0 0

no access-group dmz_jygate_acl in interface dmz


crazytank (普通用户)


按照上面的提示改了，结果提示global address overlaps with mask 请各位大侠再帮忙看看啊


lcschina (活跃用户) ip address outside 219.150.1.2 255.255.255.224

global (outside) 1 219.150.1.2

地址重叠！！！
加上 global (outside) 1 interface 去掉你的那个global