CISCO PIX防火墙管理手册

按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。（步骤1到6为必需）。

下例为上述过程的配置列表。

! set the ip address of the inside interface

ip address inside 10.0.1.2 255.255.255.0

! configure the network parameters the client will use once in the corporate network and

dhcpd address 10.0.1.101-10.0.1.110

dhcpd dns 209.165.201.2 209.165.202.129

dhcpd wins 209.165.201.5

dhcpd lease 3000

dhcpd domain example.com

! enable dhcp server daemon on the inside interface

dhcpd enable inside

下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

dhcpd address 10.0.1.100-10.0.1.108

dhcpd dns 209.165.200.227

dhcpd enable

下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

dhcpd auto_config

dhcpd enable

下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

! configure interface ip address

ip address outside 209.165.202.129 255.255.255.0

ip address inside 172.17.1.1 255.255.255.0

! configure ipsec with corporate pix

access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

ipsec transform-set myset esp-des esp-sha-hmac

crypto map mymap 10 ipsec-isakmp

crypto map mymap 10 match address ipsec-peer

crypto map mymap 10 set transform-set myset

crypto map mymap 10 set peer 209.165.200.228

crypto map mymap interface outside

sysopt connection permit-ipsec

nat (inside) 0 access-list ipsec-peer

isakmp policy 10 authentication preshare

isakmp policy 10 encryption des

isakmp policy 10 hash sha

isakmp policy 10 group 1

isakmp policy 10 lifetime 3600

isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

isakmp enable outside

!configure dhcp server address

dhcpd address 172.17.1.100-172.17.1.109

dhcpd dns 192.168.0.20

dhcpd wins 192.168.0.10

dhcpd lease 3000

dhcpd domain example.com

! enable dhcp server on inside interface

dhcpd enable

! use outside interface ip as PAT global address

nat (inside) 1 0 0

global (outside) 1 interface

使用SNMP（Using SNMP）

snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。

此部分包括下列内容：

简介（Introduction）

MIB支持（MIB Support）

SNMP使用率说明（SNMP Usage Notes）

SNMP陷阱（SNMP Traps）

编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）

使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

简介（Introduction）

可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。Cisco防火墙MIB和Cisco内存池MIB也可用。

所有SNMP值仅为只读（RO）。

使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防火墙上的信息不能用SNMP更改。

SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：

通用陷阱

- 上链路和下链路（电缆与接口相连与否；电缆与正在工作还是与非工作状态的接口相连）

- 冷启动

- 验证故障（公用字符串不匹配）

经由Cisco Syslog MIB发送的与安全相关的事件：

- 拒绝全局访问

- 故障转换系统日志信息

- 系统日志信息

使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。

MIB支持（MIB Support）

表12

注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或snmpwalk命令以确定数值。