Hỏi về các dòng sản phẩm PIX

[hailua]

Chào các huynh,

Các huynh cho Lúa hỏi về các dòng PIX của Cisco. Để trang bị cho lab CCSP và CCIE Sec thì Lúa nên chọn lọai nào vậy các huynh?

Cám ơn các huynh

Lúa

[kimlong]

nếu có tiền thì dùng Pix 515E. Nếu kinh phí hạn hẹp thì dùng 501/506 là đủ.

[xoai]

pix-515 là được , không cần xài pix-515e ( enhance mắc hơn)

[namtel]

Em có con này :
show version


Cisco PIX Firewall Version 6.3(1)

Cisco PIX Device Manager Version 3.0(1)


Compiled on Wed 19-Mar-03 11:49 by morlee


FIX up 47 mins 5 secs


Hardware: PIX-515E, 32 MB RAM, CPU Pentium II 433 MHz

Flash E28F128J3 @ 0x300, 16MB

BIOS Flash AM29F400B @ 0xfffd8000, 32KB


0: ethernet0: address is 000e.84c0.6bbc, irq 10

1: ethernet1: address is 000e.84c0.6bbd, irq 11

2: ethernet2: address is 0002.b3e7.9d11, irq 11

Licensed Features:

Failover: Disabled

VPN-DES: Enabled

VPN-3DES-AES: Enabled

Maximum Interfaces: 3

Cut-through Proxy: Enabled

Guards: Enabled

URL-filtering: Enabled

Inside Hosts: Unlimited

<--- More --->

Throughput: Unlimited

IKE peers: Unlimited


This PIX has a Restricted (R) license.


Serial Number: 807511400 (0x3021a568)

Running Activation Key: 0x9768e835 0x794db3b8 0x730e8b46 0xf106c124

Configuration last modified by enable_15 at 23:18:52.534 UTC Thu Oct 21 2004


FIX(config)#


Có ngon khong hả anh
Em muốn câu hình ra internet mãi khong được
LAN -------------FIX ---------- ISP ( adsl)
nếu có cấu hình cụ thẻ chỉ giúp em với
Và cho em hỏi luôn :
Đây là FIX 515E đúng không?
This PIX has a Restricted (R) license có nâng cấp thành (UR)?
Ai có version 6.3(x) mới nhất cho em hay chỉ ho em nơi download?

Cảm ơn các Huynh

[Vuongxibul]

Hi namtel,
con pix của bạn là 515E, với license này củng đủ cho bạn học rồi, chỉ có điều là thiếu failover thôi, tính năng này có thì tốt, không ảnh hưởng
còn bạn muốn configure cho đi internet thì có thể làm như sau:

gán ip cho interface

ip address inside x.x.x.x x.x.x.x
ip address outside y.y.y.y yy.y.y
global (outside) 1 interface
hoặc là
global (outside) 1 y.y.y.y - y.y.y.y
nat (inside) 1 x.x.x.x
route outside 0.0.0.0 0.0.0.0 y.y.y.y

đây là bản configure cho mô hình

internet --- PIX -------- LAN

inside cắm vào LAN, outside cắm vào line kết nối Internet.

[tienmv]

hi vuongxibul
Mô hình của mạng em như sau:
Server(chay mail va internet)----LAN ---- PIX ----ADSL---INTERNET
Hiện tại mạng của em chưa gắn pix và adsl của em dùng ip dynamic nên em dùng dyndns để có thể chạy mail online. Bây giờ em muốn gắn thêm cái pix-501 hoặc pix-515e vào vị trí như mô hình. Vậy em phải config như thế nào để có thế chạy mail và web bình thường

Mong các huynh giúp đỡ
Cám ơn nhiều

[Vuongxibul]

hi tienmv
cho tui hỏi là cái adsl của ông gắn ip động, còn cái pix gắn ip tĩnh hả? tự gán IP à? hay là sử dụng cái pix lấy ip động?
nếu pix lấy ip động từ adsl thì dễ rồi, chỉ cần map static mấy port nào mà ông cần chạy vào trong thôi.

ví dụ:
map cho smtp chạy vào
static (inside,outside) tcp interface 25 x.x.x.x 25 netmask 255.255.255.255 0 80
cộng thêm một access list gắn trên interface bên ngòai
access-list acl_outside permit tcp any interface outside eq 25
access-group acl_outside in interface outside

còn nếu modem adsl có tính năng nat nữa thì mình phải làm nat static 2 lần, vụ này không biết chạy tốt không nữa.

LAN -- PIX ( nat static) --- adsl (nat static) ---- Internet

như thế thì phải map port static 2 lần.
thế thôi, chúc bạn thành công, có gì post lên cho anh em cùng tham khảo,

[tienmv]

Mình đã làm thử nhưng các máy không thể kết nối Internet.
Mạng của mình như sau:
LAN(192.168.0.0/24) -- SW -- (192.168.0.254/24)PIX(192.168.10.1) -- (192.168.10.2)ADSL(dynamic IP)
Trên cái PIX mình config như sau:
Ip add inside 192.168.0.254 255.255.255.0
Ip add outside 192.168.10.1 255.255.255.0
global (outside) 1 interface
nat (inside) 1 0.0.0.0 0.0.0.0
route outside 0.0.0.0 0.0.0.0 192.168.10.1

Cấu hình trên sai ở chỗ nào các bạn giúp mình với
Thanks a lot

[quangtru]

Có khóa học nào chuyên về PIX không? Ở đâu he?

[ppp]

Hi tienmv ,

Mặc định Pix sẽ block tất cả các sesion từ outside --- > inside.

Để có thể chạy được mail , bạn phải cho phép port 25 bằng lệnh conduit ,

Ví dụ mail server của bạn có ip 192.150.50.4 :

conduit permit tcp host 192.150.50.4 eq smtp any

Cấu hình PIX firewall bạn có thể tham khảo thêm ở đây :

http://www.cisco.com/en/US/products/...08008c131.html

chúc vui ,