CISCO PIX防火墙下用上网管家共享上网

　　我们的配置目标，是提供给企业用一到四条电话线共享上网的功能，为了网络安全及控制的需要，并在内部网与外部网加装防火墙。

　　实现上网共享所用的设备是广州城市热点资讯有限公司的产品——上网管家F型，它的主要功能，是让企业内部所有已经联网的电脑一起共享上网帐户、电话线或宽带。上网管家使用SUA技术，动态分配网络资源，提供用户管理功能，并可以捆绑多个出口，能自动开通，自动断开，支持ADSL等宽带接入，及进行其他对用户非常便利的设置。F型有四个RS232九针口，用于连接一到四个广域网口，一个10BASE-T Ethernet UTP口，用于连接内部网。

　　所用的防火墙产品是CISCOPIX 515，有两个以太网口，Ethernet0（Eth0)、和Ethernet1(Eth1)，一个Console口，用于配置防火墙。

　　配置中采用了以下的拓朴图。

　　Cisco PIX的Eth0连接内部局域网192.168.1.0/24，Eth0的IP为192.168.1.1，Eth1连接上网管家的10Base UTP口，Eth1的IP设为192.168.0.2，上网管家的10Base UTP口IP为192.168.0.1，配置的目的是使用处于局域网中192.168.1.0/24网段的机器通过防火墙，利用上网管家共享上网。

　　第一步，先配置普通机器不通过防火墙利用上网管家共享上网，这一步操作比较容易，利用上网管家默认的帐号和口令登录上网管家稍加配置就可以了，具体可参考相关的产品配置说明。

　　第二步，使局域网中的192.168.1.0/24网段的机器通过防火墙并利用上网管家共享上网。这一步主要是Cisco PIX防火墙的配置。

　　通常的防火墙两个端口，一个连接内部网，接口用私有地址，另一个端口连接广域网，接口用实IP地址。在本例中，我们在防火墙的两个端口上都配置了私有地址，Eth0配置为192.168.1.1，连接192.168.1.0/24网段，在这个网段中是所有局域网中的机器，Eth1配置为192.168.0.2，连接192.168.0.0/24网段，这个网段中指定了一个私有地址池，192.168.0.10-192.168.0.30（具体可根据实际需要指定）。当数据从Eth0端口进入，穿过防火墙，从Eth1端口出的时候，利用防火墙的NAT功能，从地址池中随机取一个空闲地址，在Eth1端口上，利用防火墙的路由功能，使所有数据到连到上网管家的10Base UTP口请求连接，从而启动上网管家的自动拨号功能。

　　用Cisco PIX的机带控制线连接防火墙与个人电脑终端，按说明配置好终端参数，以下是具体的配置步骤（＃符号后为说明部分）：

　　连接好超级终端，打开电源，出现启动信息和出现提示符 ：

　　－pixfirewall>enable　＃进入特权模式

　　－pixfirewall#>configure terminal　＃进入配置界面。

　　－nameif ethernet0 outside security100　＃配置内部网络的安全级别为100

　　－nameif ethernet1 inside security0　　＃配置防火墙外部网络的安全级别为0

　　－interface ethernet0 auto 　　＃配置端口eth0和eth1的网卡类型为自适应

　　－interface ethernet1 auto

　　－ip address inside 192.168.1.1 255.255.255.0

　　－ip address outside 192.168.0.2 255.255.255.0　＃分别定义两端口的IP地址

　　－nat (inside) 1 0 0　＃允许内部网段访问外部网段并使用NAT功能

　　－global (outside) 1 192168.0.10-192.168.0.30 netmask 255.255.255.0 #定义地址池

　　－route outside 0 0 192.168.0.1 1 #在Eth1上定义缺省路由指向192.168.0.1

　　－write memory #将配置信息写入flashmemory

　　－reload　　＃重新启动防火墙

　　以上只是共享上网的初步配置，为了实现更多更复杂的功能，还可以对防火墙及上网管家进行更详细的设置。