Cisco PIX 525！

终于有时间来blog了。真不容易啊。

最近刚刚完成单位的一个专线方案的配置工作。大概历时约一个月的时间。当然了，我是第一次配置这样多的网络设备。真的是有点惭愧啊，还在这里blog，呵呵。的确不太熟。这次，我只说说配置中的体会吧！网上相关的文章好多的说。里面说的都好全面。

 

这次的方案是这样的，公司希望实现自己的VPN网关接入方案，让全国27个事务所都能够通过VPN Client软件安全的接入公司内部局域网，有限定的访问内网，实现登陆内部网络的OA服务器来实现局域网的外部扩展和异地办公，可能以后会继续做视频会议什么的。我向领导推荐了性能卓越的Cisco PIX 525作为解决方案的核心设备。方案竟然通过了。眼看上完课的CCNP课程的内容终于可以实践了，脸都兴奋的放出红光。Hoho，羡慕我的颜色吗？天生的。

 

终于盼到PIX大驾光临的日子了。打开大大的包装箱，我看到了他，健壮的体格，俊朗的面容……^_^酸了，呵呵！不好意思。

 

连接还是比较简单的，加上一个单独购买的百兆卡，现在的pix 有三个百兆口。E0，E1和E2，其中E2就是那个象计算机网卡的百兆卡。我把它nameif为dmz。E0为inside，E1为outside。Outside连接电信接过来的光纤转RJ45的设备。Inside接2620路由器的一个新加的10兆卡。Dmz暂时做了一根反线直接连接了一台PC装了RED HAT Linux 9作为试验用。

 

下面的比较简单，在网上查到配置的手册和已经经过实际配置的一些高手的配置，我开始了我的PIX之旅。Nameif、nat、global、ip address、 Route等等前面的都没有问题。只是在防火墙连接路由器的时候出了一个小插曲。我在路由器上发现连接防火墙inside口的10兆卡竟然是半双工，ft，怎么能这样。我当自己是个成手了似的，把它改成了full duplex。然后，发现网速骤然从4M（下载速度512K）变成了56k（下载速度7K）。反复试现象依旧。我又把防火墙的inside也强行把auto改成full duplex。靠，现象依旧。我又恢复了两个卡的自适应的设置，网速就好像跟我过不去似的，非常迅速的攀升回4M专线的速度。郁闷啊～～555……

 

接下来的事情就比较有意思了。动态加密集和VPNGROUP什么的都是固定的语句，基本上都是网上的配置的照搬。但在定义vpngroup的时候的确犯了难。领导有两个希望：1.能不能对VPN的接入人员进行分类的限制；2.能不能将IP地址静态的绑定到每个拨入的用户账户上。我采用的ACS3.0软件。我觉得领导的第一个要求好简单，因为这在ACS中都有设置的对策。你可以在PIX中设置多个VPNGROUP。然后对应在ACS中设置组名一一对应。然后将用户归入这些组中。然后在每个vpngroup中address-pool的地方设置不同的IP地址池。靠，这个我会。但在第二个问题上就废了（的确是彻底的废了，这个到现在我还是没搞出来），我在ACS软件中找到了一个在每个用户属性中都有的指定IP地址的选项。英文是Assign IP Address。这个应该是可以通过account功能来让IP地址与用户名绑定的。但我试过，不好使，因为你必须在pix 中设置vpngroup address-pool 这样的命令才能顺利拨入，但ipconfig会发现客户端得到的还是最小的没有被占有的地址池中的地址，而不是在ACS中指定的地址。如果不使用vpngroup address-pool 就不能建立vpn连接。真是气人啊。到现在这个还是不行呢。

 

其他的就比较顺利了。毕竟CCNA中也学了基础的路由知识。使用一个B类的IP地址段来指定。即10.1.0.0 255.255.0.0这样一个地址段。地址很多的哦^_^。然后设定pix 的inside的IP地址在这个地址段内。这样就保证VPN用户可以顺利与内部网络通讯了。然后在路由器于pix连接的outside口上设定同样在这个B类大网段的一个地址，但是奇怪的事情发生了。防火墙的inside网卡是10.1.1.254 255.255.0.0，我设定的地址池是10.1.2.1 255.255.0.0。但是这个VPN客户端验证通过以后，获得了这个地址，却无法与内网连接。但10.1.1.1 255.255.0.0却可以。到现在仍然没有解决。

 

这里有另一个插曲，就是time-range。这个特性目前PIX似乎还没有。也就是说，如果要实现一个自动的时间段的ACL限制的话，还是要在2620路由器上做。虽然我不甘心，但也没办法啊。毕竟领导有时间段的要求。

 

Pix的6.3版本是一个比较新的版本了，我购买的这台pix就是这样。旧版本支持的conduit命令似乎在这台pix上无效呢。跟另一个NP哥哥搞了一上午的远程试验，终于证明conduit在pix6.3上无效，必须使用Cisco官方网站上文档中所说的acl的形式实现（原文是E文，苦啃）。固然好使。看来我下载的那个手册该换换了。不是我不明白，这世界变化快啊。这个管道命令是做静态IP映射的时候使用的。Static命令结合acl实现连接在dmz中的公司外部网站和邮件服务器等都可以通过这样的形式来实现。这样，就可以限定访问这些放置在公网上的服务器的协议了。

 

其他的体会还有几点：pix的字符串操作没有router ios的方便，没有tab键的自动完成功能。“？”提示的也不好，如果没有手册是很难通过“？”来得到具体的帮助的。一些命令也和route不一样。给我感触最深的是wr t这个命令，在conf t的状态下也能使用，似乎pix上的config模式什么都能做。这在路由器上是必须ctrl+z以后才能使用的呢。而且pix的散热量浩大无比，前面板有四个动力十足的风扇在不停的狂转。连放置它的机柜都因为无法保障散热而到现在还是敞开着柜门不敢关上呢。另外还有许多功能我现在还没有使用，在网上查到可以使用linux的syslog或者win2000的nt日志来做日志服务器呢。具体的步骤还没时间看。而且那个ACS服务器软件也没有时间细搞，等以后有时间会继续研究的。看到有个命令是关于account的，似乎是指定aaa认证中的account服务器的，不知道是不是要结合ACS使用。

 

期望

希望pix早日推出带有time-range的acl命令呢。而且，也不知道pix什么时候能够支持路由就更好了。至少我可以不用那么费力的划分一个B类地址给VPN用户了。