CISCO PIX防火墙系统管理(8)

　　步骤5 （可选）配置客户机将使用的域名。例如： dhcpd domain example.com

　　步骤6 启动 PIX 防火墙中的 DHCP 端口监督程序，以接收启动接口上的 DHCP 客户机请求。现在您仅可在 inside 接口（默认值）上启动 DHCP 服务器特性。例如： dhcpd enable inside

　　下例为上述过程的配置列表。

　　! set the ip address of the inside interface

　　ip address inside 10.0.1.2 255.255.255.0

　　! configure the network parameters the client will use once in the corporate network and

　　dhcpd address 10.0.1.101-10.0.1.110

　　dhcpd dns 209.165.201.2 209.165.202.129

　　dhcpd wins 209.165.201.5

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server daemon on the inside interface

　　dhcpd enable inside

　　下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

　　dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd dns 209.165.200.227

　　dhcpd enable

　　下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd auto_config

　　dhcpd enable

　　下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

　　! configure interface ip address

　　ip address outside 209.165.202.129 255.255.255.0

　　ip address inside 172.17.1.1 255.255.255.0

　　! configure ipsec with corporate pix

　　access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

　　ipsec transform-set myset esp-des esp-sha-hmac

　　crypto map mymap 10 ipsec-isakmp

　　crypto map mymap 10 match address ipsec-peer

　　crypto map mymap 10 set transform-set myset

　　crypto map mymap 10 set peer 209.165.200.228

　　crypto map mymap interface outside

　　sysopt connection permit-ipsec

　　nat (inside) 0 access-list ipsec-peer

　　isakmp policy 10 authentication preshare

　　isakmp policy 10 encryption des

　　isakmp policy 10 hash sha

　　isakmp policy 10 group 1

　　isakmp policy 10 lifetime 3600

　　isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

　　isakmp enable outside

　　!configure dhcp server address

　　dhcpd address 172.17.1.100-172.17.1.109

　　dhcpd dns 192.168.0.20

　　dhcpd wins 192.168.0.10

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server on inside interface

　　dhcpd enable

　　! use outside interface ip as PAT global address

　　nat (inside) 1 0 0

　　global (outside) 1 interface

　　四、使用SNMP（Using SNMP）

　　snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。

　　使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。此部分包括下列内容：

　　简介（Introduction）

　　MIB支持（MIB Support）

　　SNMP使用率说明（SNMP Usage Notes）

　　SNMP陷阱（SNMP Traps）

　　编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）

　　使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

　　简介（Introduction）可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。

　　Cisco防火墙MIB和Cisco内存池MIB也可用。

　　所有SNMP值仅为只读（RO）

　　使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防

　　火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：