GNS3 PIX虚拟防火墙简单配置（思科）

实验目的实验拓扑实验配置r1配置f0/0接口ip配置静态路由r2配置f0/0接口ip配置静态路由r3配置f0/0接口ip配置静态路由配置远程登陆用户名密码pix切换成mutiple模式开启各端口给admin防火墙分配端口创建con1防火墙并分配端口配置admin虚拟防火墙设置接口IP和安全等级设置acl此时r1可以ping通r3配置con1虚拟防火墙配置接口及安全等级配置acl自动分配mac地址实验结果

实验目的

通过虚拟防火墙区分不同网段的权限

1.34.0.1.0/24通过admin防火墙到32.0.1.0/24

2.192.168.0.0/24通过con1防火墙到32.0.1.0/24

实验拓扑

实验配置

r1

配置f0/0接口ip

conf tint f0/0ip add 34.0.1.2 255.255.255.0no shend

配置静态路由

conf tip route 32.0.1.0 255.255.255.0 34.0.1.1

r2

配置f0/0接口ip

conf tInt f0/0Ip add 192.168.0.2 255.255.255.0No shend

配置静态路由

conf tip route 32.0.1.0 255.255.255.0 192.168.1.1

r3

配置f0/0接口ip

conf tint f0/0ip add 32.0.1.2 255.255.255.0no shend

配置静态路由

conf tip route 34.0.1.0 255.255.255.0 32.0.1.1ip route 34.0.1.0 255.255.255.0 32.0.1.11

配置远程登陆用户名密码

conf tusername test password 123line vty 0 4login local

pix

首先要保证pix支持failover

若不支持，可以网上查找serial和key，具体操作网上搜一下，不多赘述

切换成mutiple模式

conf tmode mutiple

加载到这里后重启pix

开启各端口

pixfirewall(config)# int e0pixfirewall(config-if)# no shpixfirewall(config-if)# int e1pixfirewall(config-if)# no sh

给admin防火墙分配端口

pixfirewall(config-if)# admin-context adminpixfirewall(config)# context adminpixfirewall(config-ctx)# allocate-interface e0pixfirewall(config-ctx)# allocate-interface e1pixfirewall(config-ctx)# config-url flash:/admin.cfg

创建con1防火墙并分配端口

pixfirewall(config-ctx)# context con1Creating context 'con1'... Done. (2)pixfirewall(config-ctx)# allocate-interface e1pixfirewall(config-ctx)# allocate-interface e0pixfirewall(config-ctx)# config-url flash:/con1.cfg

配置admin虚拟防火墙

设置接口IP和安全等级

pixfirewall(config-ctx)# changeto context adminpixfirewall/admin(config)# int e0pixfirewall/admin(config-if)# nameif insidepixfirewall/admin(config-if)# ip add 34.0.1.1 255.255.255.0pixfirewall/admin(config-if)# no shpixfirewall/admin(config-if)# int e1pixfirewall/admin(config-if)# nameif outsidepixfirewall/admin(config-if)# ip add 32.0.1.1 255.255.255.0pixfirewall/admin(config-if)# no shpixfirewall/admin(config-if)#exit

设置acl

pixfirewall/admin(config)# nat (inside) 1 34.0.1.0 255.255.255.0pixfirewall/admin(config)# global (outside) 1 32.0.1.50-32.0.1.100pixfirewall/admin(config)#access-list aclout1 permit icmp any 32.0.1.0 255.255.255.0pixfirewall/admin(config)#access-group aclout1 in interface outside

此时r1可以ping通r3

配置con1虚拟防火墙

配置接口及安全等级

pixfirewall/admin(config)# changeto context con1pixfirewall/con1(config)# int e0pixfirewall/con1(config-if)# nameif insidepixfirewall/con1(config-if)# ip add 192.168.0.1 255.255.255.0pixfirewall/con1(config-if)# no shpixfirewall/con1(config-if)# int e1pixfirewall/con1(config-if)# nameif outsidepixfirewall/con1(config-if)# ip add 32.0.1.11 255.255.255.0pixfirewall/con1(config-if)# no shpixfirewall/con1(config-if)#exit

配置acl

pixfirewall/con1(config)# nat (inside) 2 192.168.0.0 255.255.255.0pixfirewall/con1(config)# global (outside) 2 32.0.1.101-32.0.1.254pixfirewall/con1(config)#pixfirewall/con1(config)# access-list aclout1 permit icmp any 32.0.1.0 255.255.255.0pixfirewall/con1(config)# access-group aclout1 in interface outside

此时照理来讲应该r1、r2均可ping通r3，但尝试后发现，不仅r2依旧无法ping通r3，连原本可以ping通r3的r1也不能ping通r3了。

是mac地址冲突造成的

自动分配mac地址

pixfirewall/con1(config)# changeto systempixfirewall(config)# mac-address auto

实验结果

r1、r2均可ping通r3