GNS3 PIX虚拟防火墙简单配置(思科)
实验目的实验拓扑实验配置r1配置f0/0接口ip配置静态路由r2配置f0/0接口ip配置静态路由r3配置f0/0接口ip配置静态路由配置远程登陆用户名密码pix切换成mutiple模式开启各端口给admin防火墙分配端口创建con1防火墙并分配端口配置admin虚拟防火墙设置接口IP和安全等级设置acl此时r1可以ping通r3配置con1虚拟防火墙配置接口及安全等级配置acl自动分配mac地址实验结果实验目的
通过虚拟防火墙区分不同网段的权限
1.34.0.1.0/24通过admin防火墙到32.0.1.0/24
2.192.168.0.0/24通过con1防火墙到32.0.1.0/24
实验拓扑
实验配置
r1
配置f0/0接口ip
conf tint f0/0ip add 34.0.1.2 255.255.255.0no shend
配置静态路由
conf tip route 32.0.1.0 255.255.255.0 34.0.1.1
r2
配置f0/0接口ip
conf tInt f0/0Ip add 192.168.0.2 255.255.255.0No shend
配置静态路由
conf tip route 32.0.1.0 255.255.255.0 192.168.1.1
r3
配置f0/0接口ip
conf tint f0/0ip add 32.0.1.2 255.255.255.0no shend
配置静态路由
conf tip route 34.0.1.0 255.255.255.0 32.0.1.1ip route 34.0.1.0 255.255.255.0 32.0.1.11
配置远程登陆用户名密码
conf tusername test password 123line vty 0 4login local
pix
首先要保证pix支持failover
若不支持,可以网上查找serial和key,具体操作网上搜一下,不多赘述
切换成mutiple模式
conf tmode mutiple
加载到这里后重启pix
开启各端口
pixfirewall(config)# int e0pixfirewall(config-if)# no shpixfirewall(config-if)# int e1pixfirewall(config-if)# no sh
给admin防火墙分配端口
pixfirewall(config-if)# admin-context adminpixfirewall(config)# context adminpixfirewall(config-ctx)# allocate-interface e0pixfirewall(config-ctx)# allocate-interface e1pixfirewall(config-ctx)# config-url flash:/admin.cfg
创建con1防火墙并分配端口
pixfirewall(config-ctx)# context con1Creating context 'con1'... Done. (2)pixfirewall(config-ctx)# allocate-interface e1pixfirewall(config-ctx)# allocate-interface e0pixfirewall(config-ctx)# config-url flash:/con1.cfg
配置admin虚拟防火墙
设置接口IP和安全等级
pixfirewall(config-ctx)# changeto context adminpixfirewall/admin(config)# int e0pixfirewall/admin(config-if)# nameif insidepixfirewall/admin(config-if)# ip add 34.0.1.1 255.255.255.0pixfirewall/admin(config-if)# no shpixfirewall/admin(config-if)# int e1pixfirewall/admin(config-if)# nameif outsidepixfirewall/admin(config-if)# ip add 32.0.1.1 255.255.255.0pixfirewall/admin(config-if)# no shpixfirewall/admin(config-if)#exit
设置acl
pixfirewall/admin(config)# nat (inside) 1 34.0.1.0 255.255.255.0pixfirewall/admin(config)# global (outside) 1 32.0.1.50-32.0.1.100pixfirewall/admin(config)#access-list aclout1 permit icmp any 32.0.1.0 255.255.255.0pixfirewall/admin(config)#access-group aclout1 in interface outside
此时r1可以ping通r3
配置con1虚拟防火墙
配置接口及安全等级
pixfirewall/admin(config)# changeto context con1pixfirewall/con1(config)# int e0pixfirewall/con1(config-if)# nameif insidepixfirewall/con1(config-if)# ip add 192.168.0.1 255.255.255.0pixfirewall/con1(config-if)# no shpixfirewall/con1(config-if)# int e1pixfirewall/con1(config-if)# nameif outsidepixfirewall/con1(config-if)# ip add 32.0.1.11 255.255.255.0pixfirewall/con1(config-if)# no shpixfirewall/con1(config-if)#exit
配置acl
pixfirewall/con1(config)# nat (inside) 2 192.168.0.0 255.255.255.0pixfirewall/con1(config)# global (outside) 2 32.0.1.101-32.0.1.254pixfirewall/con1(config)#pixfirewall/con1(config)# access-list aclout1 permit icmp any 32.0.1.0 255.255.255.0pixfirewall/con1(config)# access-group aclout1 in interface outside
此时照理来讲应该r1、r2均可ping通r3,但尝试后发现,不仅r2依旧无法ping通r3,连原本可以ping通r3的r1也不能ping通r3了。
是mac地址冲突造成的
自动分配mac地址
pixfirewall/con1(config)# changeto systempixfirewall(config)# mac-address auto
实验结果
r1、r2均可ping通r3