好久没有碰CISCO防火墙了,最近朋友让帮忙配置一下PIX525,虽然有的东西记得不是很清了,但是还是答应朋友了。

 

网络拓扑如下:

abc

配置要求如下,比较简单:

防火墙配置为透明模式,只允许内部用户访问指定网段及服务器。

 

配置方法:

1、配置防火墙模式为透明模式

pixfirewall(config)# firewall transparent   (此条命令回车后,之前的所有配置将自动清除)

2、配置接口

interface Ethernet0

speed 100

duplex full

nameif outside

security-level 0

!

interface Ethernet1

speed 100

duplex full

nameif inside

security-level 100

3、配置acl

access-list abc remark xxx

access-list abc extended permit icmp any any

access-list abc extended permit ip any x.x.x.x 255.255.255.0

access-group abc in interface outside

access-group abc out interface outside

4、配置个远程登录(内部简单配置就可以telnet,主要配置外部远程登录SSH)

pixfirewall(config)# domain-name xxx.com  (配置域名,必须的)

pixfirewall(config)# crypto key generate rsa modulus 1024 noconfirm  (有的版本为:ca generate rsa key 2048)

pixfirewall(config)# ca save  (保存密钥)

pixfirewall(config)# ssh x.x.x.x 255.255.255.0  (配置允许外部登录的IP或者网段)

pixfirewall(config)# ssh time 5  (配置ssh超时时间/分)

pixfirewall(config)# password xxx  (配置ssh登录密码,默认ssh用户名为pix)

  SSH登录用户名修改

  pixfirewall(config)# aaa authentication ssh console LOCAL

  pixfirewall(config)# username xxx password xxx privilege 15  (配置登陆名和密码以及权限)

5、保存

pixfirewall(config)# write memory

至此,配置完毕。

 

配置完毕几天后,朋友觉得内网用户使用固定IP比较浪费,而且也不易管理,所以又提出新的要求:

在PIX525上启用DHCP服务,配置内网为私有IP地址,内网访问外网时将内网地址转换为固定IP地址。

 

配置方法:

1、关闭透明模式

pixfirewall(config)# no firewall transparent    (此条命令回车后,之前的所有配置将自动清除)

2、配置接口

interface Ethernet0

speed 100

duplex full

nameif outside

ip address 192.168.1.1 255.255.255.0

security-level 0

!

interface Ethernet1

speed 100

duplex full

nameif inside

ip address x.x.x.x 255.255.255.0

security-level 100

3、启用DHCP

pixfirewall(config)# dhcpd domain xxx.com

pixfirewall(config)# dhcpd dns x.x.x.x x.x.x.x

pixfirewall(config)# dhcpd address 192.168.1.2-192.168.1.254 inside

pixfirewall(config)# dhcpd enable

4、配置NAT转换

pixfirewall(config)# global (outside) 1 133.64.1.190-133.64.1.192 netmask 255.255.255.0   (外部转换固定IP地址段)

pixfirewall(config)# nat (outside) 1 0 0  (将内部所有地址进行转换)

5、配置acl

同透明模式

6、配置远程登录

同透明模式

7、保存

pixfirewall(config)# write memory

至此,配置完毕。

 

实际配置完毕后测试,存在以下两个问题:

一、透明模式和正常模式配置都没有问题,但是在内网访问外网测试时网络延时比较大,偶尔出现丢包。

故障诊断:

1、查看接口状态

全双工100Mbps,实时流量不到1Mbps,排除网络拥塞原因。

2、查看设备CPU、内存利用率

CPU和内存利用率很低。

3、配置优化

检查配置正常,删除部分系统默认配置(IPS、***检测配置等)测试仍存在问题

4、抓包判断

在内网和外网分别抓包分析,并未发现异常

故障解决:

经在cisco.com查询,发现问题出在pix到route的网线上,cisco要求pix接口必须严格遵循相关标准,即pix到switch必须使用平行线(直连线)、pix到route必须使用交叉线。

经查看,实际中pix到route的网线为平行线(直连线),更换为交叉线后测试,一切正常,ping延时骤然减小,故障消除。

 

二、内网用户访问外部FTP服务器问题(请各位讨论一下)

内网用户使用IE、资源管理器访问外部服务器正常,但使用cmd访问FTP服务器时,无法连接。

故障诊断:

1、配置查看

经对配置进行检查,ftp passive mode正常打开,未发现对ftp端口限制的acl,配置应该没有问题。

2、FTP服务器自查

经检查FTP服务器,无异常,从其他网络访问服务器正常,在内网甩开pix访问FTP服务器正常。

故障解决:

还是从配置入手,怀疑是不是pix默认禁用了入向FTP的端口?

朋友建议放开如向所有流量,于是添加acl:

access-list abc extended permit tcp any any

access-list abc extended permit udp any any

access-group abc in interface inside

access-group abc out interface inside

配置完毕后,故障消除,内网访问ftp服务器正常。

讨论:对于此故障,本人尚不十分明白,为什么使用IE和资源管理器访问FTP服务器正常,但在dos下访问ftp服务器缺无法连接,知道的朋友可以补充一下,个人感觉最后加的acl存在问题,放开了所有入向流量,内网的安全相当于0,没有起到防火墙的作用,反倒是对内网访问外网做了IP限制,外网的安全级别有所上升,希望看到的朋友不吝赐教,能给一些自己的见解,相互学习,共同进步,先谢过了,呵呵。