CISCO PIX防火墙下用上网管家共享上网

1/6/2008来源:Cisco网络人气:2646


  我们的配置目标,是提供给企业用一到四条电话线共享上网的功能,为了网络安全及控制的需要,并在内部网与外部网加装防火墙。
  实现上网共享所用的设备是广州城市热点资讯有限公司的产品——上网管家F型,它的主要功能,是让企业内部所有已经联网的电脑一起共享上网帐户、电话线或宽带。上网管家使用SUA技术,动态分配网络资源,提供用户治理功能,并可以捆绑多个出口,能自动开通,自动断开,支持ADSL等宽带接入,及进行其他对用户非常便利的设置。F型有四个RS232九针口,用于连接一到四个广域网口,一个10BASE-T Ethernet UTP口,用于连接内部网。
  所用的防火墙产品是CISCO PIX 515,有两个以太网口,Ethernet0(Eth0)、和Ethernet1(Eth1),一个Console口,用于配置防火墙。
  配置中采用了以下的拓朴图。
  
  Cisco PIX的Eth0连接内部局域网192.168.1.0/24,Eth0的ip为192.168.1.1,Eth1连接上网管家的10Base UTP口,Eth1的IP设为192.168.0.2,上网管家的10Base UTP口IP为192.168.0.1,配置的目的是使用处于局域网中192.168.1.0/24网段的机器通过防火墙,利用上网管家共享上网。
  第一步,先配置普通机器不通过防火墙利用上网管家共享上网,这一步操作比较轻易,利用上网管家默认的帐号和口令登录上网管家稍加配置就可以了,具体可参考相关的产品配置说明。
  第二步,使局域网中的192.168.1.0/24网段的机器通过防火墙并利用上网管家共享上网。这一步主要是Cisco PIX防火墙的配置。
  通常的防火墙两个端口,一个连接内部网,接口用私有地址,另一个端口连接广域网,接口用实IP地址。在本例中,我们在防火墙的两个端口上都配置了私有地址,Eth0配置为192.168.1.1,连接192.168.1.0/24网段,在这个网段中是所有局域网中的机器,Eth1配置为192.168.0.2,连接192.168.0.0/24网段,这个网段中指定了一个私有地址池,192.168.0.10-192.168.0.30(具体可根据实际需要指定)。当数据从Eth0端口进入,穿过防火墙,从Eth1端口出的时候,利用防火墙的NAT功能,从地址池中随机取一个空闲地址,在Eth1端口上,利用防火墙的路由功能,使所有数据到连到上网管家的10Base UTP口请求连接,从而启动上网管家的自动拨号功能。
  用Cisco PIX的机带控制线连接防火墙与个人电脑终端,按说明配置好终端参数,以下是具体的配置步骤(#符号后为说明部分):
  连接好超级终端,打开电源,出现启动信息和出现提示符 :
  -pixfirewall>enable #进入特权模式
    -pixfirewall#>configure terminal #进入配置界面。
    -nameif ethernet0 outside security100 #配置内部网络的安全级别为100
    -nameif ethernet1 inside security0  #配置防火墙外部网络的安全级别为0
    -interface ethernet0 auto   #配置端口eth0和eth1的网卡类型为自适应
    -interface ethernet1 auto
    -ip address inside 192.168.1.1 255.255.255.0
    -ip address outside 192.168.0.2 255.255.255.0 #分别定义两端口的IP地址
    -nat (inside) 1 0 0 #答应内部网段访问外部网段并使用NAT功能
    -global (outside) 1 192168.0.10-192.168.0.30 netmask 255.255.255.0 #定义地址池
    -route outside 0 0 192.168.0.1 1 #在Eth1上定义缺省路由指向192.168.0.1
  -write memory #将配置信息写入Flash memory
  -reload  #重新启动防火墙
  以上只是共享上网的初步配置,为了实现更多更复杂的功能,还可以对防火墙及上网管家进行更具体的设置。