扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
步骤5 (可选)配置客户机将使用的域名。例如: dhcpd domain example.com
步骤6 启动 PIX 防火墙中的 DHCP 端口监督程序,以接收启动接口上的 DHCP 客户机请求。现在您仅可在 inside 接口(默认值)上启动 DHCP 服务器特性。例如: dhcpd enable inside
下例为上述过程的配置列表。
! set the ip address of the inside interface
ip address inside 10.0.1.2 255.255.255.0
! configure the network parameters the client will use once in the corporate network and
dhcpd address 10.0.1.101-10.0.1.110
dhcpd dns 209.165.201.2 209.165.202.129
dhcpd wins 209.165.201.5
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server daemon on the inside interface
dhcpd enable inside
下例为DHCP地址池和DNS服务器地址的配置,带启动了DHCP服务器特性的内部接口:
dhcpd address 10.0.1.100-10.0.1.108
dhcpd dns 209.165.200.227
dhcpd enable
下例为DHCP地址池的配置,使用auto_config命令来配置dns,wins和域参数: dhcpd address 10.0.1.100-10.0.1.108
dhcpd auto_config
dhcpd enable
下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙,它的外部接口IP地址为209.165.200.228,作为公司网络的网关。
! configure interface ip address
ip address outside 209.165.202.129 255.255.255.0
ip address inside 172.17.1.1 255.255.255.0
! configure ipsec with corporate pix
access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0
ipsec transform-set myset esp-des esp-sha-hmac
crypto map mymap 10 ipsec-isakmp
crypto map mymap 10 match address ipsec-peer
crypto map mymap 10 set transform-set myset
crypto map mymap 10 set peer 209.165.200.228
crypto map mymap interface outside
sysopt connection permit-ipsec
nat (inside) 0 access-list ipsec-peer
isakmp policy 10 authentication preshare
isakmp policy 10 encryption des
isakmp policy 10 hash sha
isakmp policy 10 group 1
isakmp policy 10 lifetime 3600
isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0
isakmp enable outside
!configure dhcp server address
dhcpd address 172.17.1.100-172.17.1.109
dhcpd dns 192.168.0.20
dhcpd wins 192.168.0.10
dhcpd lease 3000
dhcpd domain example.com
! enable dhcp server on inside interface
dhcpd enable
! use outside interface ip as PAT global address
nat (inside) 1 0 0
global (outside) 1 interface
四、使用SNMP(Using SNMP)
snmp_server命令使PIX防火墙可发送SNMP陷阱,以便PIX防火墙可从远程监控。
使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。此部分包括下列内容:
简介(Introduction)
MIB支持(MIB Support)
SNMP使用率说明(SNMP Usage Notes)
SNMP陷阱(SNMP Traps)
编辑Cisco Syslog MIB文件(Compiling Cisco Syslog MIB Files)
使用防火墙和内存池MIB(Using the Firewall and Memory Pool MIBs)
简介(Introduction)可用的PIX防火墙SNMP MIB-II组有系统(System)和接口(Interfaces)。
Cisco防火墙MIB和Cisco内存池MIB也可用。
所有SNMP值仅为只读(RO)
使用SNMP,您可以监控PIX防火墙上的系统事件。SNMP事件可以读取,但PIX防
火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示:
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。