设为首页    加入收藏
学历| 高考 中考 考研 自考 成考  外语| CET6 职称英语 商务英语 公共英语  资格| 公务员 报关员 银行 证券 司法 导游 教师  计算机| 等考 软考
工程| 一建 二建 造价师 监理师 咨询师 安全师 结构师 估价师 造价员  会计| 会计证 中级会计 注会 经济师 税务师  医学| 卫生资格 医师 药师 [更多]
搜索一下 
站内搜索:
 
热门关键字:考试动态 | 成绩查询 | 考试试题 | 辅导课程 | 复习辅导 |
您当前的位置: 首页 > 计算软件水平考试 > IT技术 > 网络技术 > 防火墙

配置实例:PIX虚拟防火墙配置

来源:软件水平考试    发布时间:2012-11-04    软件水平考试视频    评论

  实验拓扑:

  这个拓扑中,中间的PIX配置三个虚拟防火墙,Ethernet0连接到一个3550交换机的TRUNK端口,分别接到三个不同的VLAN,外口Ethernet1连接到Internet,试验中可以使用一台路由器代替。
  由于这里Ethernet0是和交换机的TRUNK端口相连,来接收不同VLAN的流量,所以这里使用子接口为TRUNK去VLAN标签,并将这些子接口分配给各个虚拟防火墙,是内部各个VLAN都能访问Internet
  首先配置3550交换机:
  interface FastEthernet0/2
  switchport access vlan 2
  !
  interface FastEthernet0/3
  switchport access vlan 3
  !
  interface FastEthernet0/4
  switchport access vlan 4
  !
  interface FastEthernet0/10 //和PIX的Ethernet0口相连
  switchport trunk encapsulation dot1q //PIX的默认的TRUNK类型就是dot1q
  switchport trunk allowed vlan 2,3,4
  switchport mode trunk
  PIX的配置:
  changeto system:
  interface Ethernet0
  !
  interface Ethernet0.2
  vlan 2 //为子接口进行封装,去VLAN标签
  interface Ethernet0.3
  vlan 3
  interface Ethernet0.4
  vlan 4
  !
  interface Ethernet1
  !
  admin-context admin
  context admin
  allocate-interface Ethernet0.2 Intf1 //分配E0.2子接口到虚拟防火墙admin,别名是Intf1
  allocate-interface Ethernet1 Intf0 //分配接口E1到虚拟防火墙admin,别名是Intf0
  config-url flash:/admin.cfg
  !
  context DepartmentA
  allocate-interface Ethernet0.3 Intf1
  allocate-interface Ethernet1 Intf0
  config-url flash:/DepartmentA.cfg
  !
  context DepartmentB
  allocate-interface Ethernet0.4 Intf1
  allocate-interface Ethernet1 Intf0
  config-url flash:/DepartmentB.cfg
  changeto context admin:
  interface Intf1
  nameif inside
  security-level 100
  ip address 192.168.2.1 255.255.255.0
  !
  interface Intf0
  mac-address 00aa.0000.01c1
  nameif outside
  security-level 0
  ip address 192.168.1.10 255.255.255.0
  changeto context DepartmentA:
  interface Intf1
  nameif inside
  security-level 100
  ip address 192.168.3.1 255.255.255.0
  !
  interface Intf0
  mac-address 00aa.0000.01c2
  nameif outside
  security-level 0
  ip address 192.168.1.11 255.255.255.0
  changeto context DepartmentB:
  interface Intf1
  nameif inside
  security-level 100
  ip address 192.168.4.1 255.255.255.0
  !
  interface Intf0
  mac-address 00aa.0000.01c3
  nameif outside
  security-level 0
  ip address 192.168.1.12 255.255.255.0
  最后在试验中代替Internet的路由器上进行验证:
  /NewsFiles/2009-3/27/918514602.png
  成功ping通每个虚拟接口上配置的IP地址。
  注意:
  因为当前E1只有一个MAC地址,2层数据帧在到达防火墙E1口时,将不知道如何将数据帧发给谁,需要在C1、C2的E1接口上指定不同的MAC地址来分类流量。

视频学习

我考网版权与免责声明

① 凡本网注明稿件来源为"原创"的所有文字、图片和音视频稿件,版权均属本网所有。任何媒体、网站或个人转载、链接转贴或以其他方式复制发表时必须注明"稿件来源:我考网",违者本网将依法追究责任;

② 本网部分稿件来源于网络,任何单位或个人认为我考网发布的内容可能涉嫌侵犯其合法权益,应该及时向我考网书面反馈,并提供身份证明、权属证明及详细侵权情况证明,我考网在收到上述法律文件后,将会尽快移除被控侵权内容。

最近更新

社区交流

考试问答