基础使用cisco pix 防火墙(2)

　　6.route command,very important!!!

　　route告诉我们要在那个特定的接口转发，并指定那个特定的网络地址.使用route命令向pix增加一个静态路由.

　　route if_name ip_address netmask gateway_ip [metric]

　　说明一下if_name指你数据要离开处的那个端口

　　ip_address被路由的ip address

　　netmask被路由的ip address的网络掩码

　　gateway_ip 下一跳的ip address

　　metric到下一个设备的跳数

　　在pix上用的最多的是配置一个默认路由

　　route outside 0 0 192.168.1.3 1 其中0 0 表示网段内所有的ip address从outside ip address是192.168.1.3出去

　　如果你想要测试新的路由配置，在这之前用clear arp清除pix firewall的arp高速缓存is a good idea.

　　7.RIP command

　　不讲，不想了解，也不知道，没有见过那个人在配置PIX用过RIP协议的

　　需要了解的人查书吧，如果你有这方面的经验，可以写出来大家share一下:)

　　8.测试你的配置，一般有几种，首先查看一下你的配置命令是否正确，show xxxxx来查看。show interface,show nameif,show ip address,show route,show nat,show global 等等.其次使用ping命令，前提是你需要使用icmp permit any any outside，因为默认情况下pix是拒绝所有来自于外部接口的输入流量的，除非你使用conduit permit icmp any any ,但是这个命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建议大家可以看看，但是看了之后最好关掉，以便影响pix的performance.

　　9.配置每一个pix命令是在pix立刻反应出来的，所以你可以尝试配置，但是不要配置，等你有把握时在保存wr m,但你配置错误，你可以reload一下就可以了.

　　10.pix对dhcp支持

　　10.1首先是可以将pix配置为dhcp server.PIX dhcp服务器只能在pix的内部接口上激活，同时你需要查找资料，因为个别的如506/506e，由于OS版本不同，对client ip address支持数目也不同.

　　dhcpd enable inside

　　dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0

　　dhcpd lease 2700 (授权用户的租借长度，默认时间是3600s)

　　dhcpd dns 61.177.7.1

　　dhcpd wins 61.177.7.1

　　dhcpd domain testing.cn

　　10.2可以将pix的外部接口配置为从ISP处接收地址

　　ip address outside dhcp [setroute] [retry retry_cnt]

　　setroute告诉pix防火墙使用默认网关参数设置的DHCP服务器返回的默认路由，当使用setroute选项时不再配置默认路由

　　同样可以使用ip address dhcp来释放和重建一个外部接口的ip address

　　通过show ip address dhcp来查看当前的租借信息.

　　11.时间设置和NTP支持

　　手动配置和通过NTP服务器获得系统时间.

　　手动配置clock set hh:mm:ss month day year,关于通过NTP来配置，大家查查资料吧，也没有见过别人来做过，安全要求太高了.