CISCO PIX防火墙系统管理(2)

三、使用DHCP（Using DHCP）

　　PIX防火墙支持动态主机配置协议（DHCP）服务器和DHCP客户机。DHCP是一个协议，向互联网主机提供自动配置参数。此协议有两个组成部分：

• 用于从DHCP服务器向主机（DHCP客户机）提供主机特定配置参数的协议
• 用于向主机分配网络地址的机制

　　DHCP服务器是向DHCP客户机提供配置参数的计算机，DHCP客户机则是使用DHCP获得网络配置参数的计算机或网络设备。

　　在PIX防火墙中实施DHCP服务器和DHCP客户机特性的主要目的是大大简化PIX防火墙单元的配置。

　　本部分包括以下内容：

• DHCP客户机（DHCP Client）
• DHCP服务器（DHCP Server）

　　DHCP客户机（DHCP Client）

PIX防火墙中的DHCP客户机支持经过专门设计，适用于小型办公室、家庭办公室（SOHO）环境，这些环境中使用PIX防火墙直接与支持DHCP服务器功能的DSL或电缆调制解调器相连。随着PIX防火墙上DHCP客户机特性的实施，PIX防火墙对DHCP服务器来说即可作为DHCP客户机，允许服务器用IP地址、子网掩模和可选的默认路由来配置单元的启动接口

　　不支持使用DHCP客户机特性从通用DHCP服务器获取IP地址的操作。此外，PIX防火墙DHCP客户机不支持故障转换配置。
为支持PIX防火墙中的DHCP客户机特性，进行了以下改进：

• 增强了ip address和show ip address命令：
  - ip address if_name dhcp [setroute] [retry retry_cnt]
  - ip address outside dhcp [setroute] [retry retry_cnt]
  - show ip address if_name dhcp
• 添加了新的debug命令：
  - debug dhcpc packet
  - debug dhcpc detail
  - debug dhcpc error

　　ip address dhcp命令可在指定PIX防火墙接口上启动DHCP客户机特性。可选setroute参数让PIX防火墙使用DHCP服务器返回的默认网关参数来设置默认路由。

　　debug dhcpc命令为启动的DHCP客户机特性提供纠错工具。

　　用于实施DHCP客户机的PIX防火墙命令在《Cisco PIX防火墙命令参考》的ip address命令页和debug命令页中介绍。具体信息请参见这些命令页。
注意 DHCP所需的外部接口的IP地址也可用作PAT全局地址。这样，ISP就无需向PIX防火墙分配静态IP地址了。使用带interface关键字的global命令来使PAT使用DHCP所需的外部接口IP地址。有关global命令的具体信息，请参见《Cisco PIX防火墙命令参考》中的global命令页。

　　启动DHCP客户机特性和设置默认路由（Enabling the DHCP Client Feature and Setting Default Route）

　　为在给定PIX防火墙接口上启动DHCP客户机特性并经由DHCP服务器设置默认路由，需将ip address dhcp setroute命令作为您整个PIX防火墙配置的一部分加以配置，这其中包括setroute选项。指定将在其上启动DHCP客户机的接口名。

　　DHCP服务器（DHCP Server）

　　PIX防火墙中的DHCP服务器支持经过了专门设计，适用于使用PIX 506的远程家庭或分支机构（ROBO）环境。与PIX防火墙相连的是PC客户机和其它网络设备（DHCP客户机），它们建立了不安全（未加密）或安全（使用IPSec加密）的网络连接来访问企业或公司网络。作为一个DHCP服务器，PIX防火墙通过使用DHCP向DHCP客户机提供了网络配置参数。这些配置参数为DHCP客户机提供了用于访问企业网的网络参数，以及在网络中网络服务（如DNS服务器）使用的参数。

　　在5.3版软件发布前，PIX防火墙DHCP服务器支持10个DHCP客户机、PIX防火墙5.3及更高版本在PIX防火墙上支持32个DHCP客户机，在其它平台上支持256个。在6.0或更高版本中，PIX防火墙DHCP服务器支持256个DHCP客户机。您不能使用C类网络掩模为256个客户机配置1个DHCP服务器。例如，如果一家公司有C类网络地址172.17.1.0，带网络掩模255.255.255.0，那么172.17.1.0（网络IP）和172.17.1.255（广播）不可能在DHCP地址池范围之内。此外，一个地址用于PIX防火墙接口。因此，如果用户使用C类网络掩模，就只能最多拥有253个DHCP客户机。如想配置256个客户机，就不能使用C类网络掩模。
注意 PIX防火墙DHCP服务器不支持BOOTP请求和故障转换配置。用于实施DHCP服务器特性的PIX防火墙命令在《Cisco PIX防火墙命令参考》的dhcp命令页和debug命令页中介绍。具体信息请参见这些命令页。

　　配置DHCP服务器特性（Configuring the DHCP Server Feature）

　　确保在启动DHCP服务器特性前，使用ip address命令来配置IP地址和inside接口的子网掩模。

　　按照以下步骤来在给定PIX防火墙接口上启动DHCP服务器特性。（步骤1到6为必需）。

步骤1	使用dhcpd address命令指定一个DHCP地址池。PIX防火墙将向客户机分配此池中的地址之一并在给定长度的时间内使用。默认值为inside接口。例如： dhcp address 10.0.1.101-10.0.1.110 inside
步骤2	（可选）指定客户机将使用的DNS服务器的IP地址。您最多可指定2个DNS服务器。例如：dhcpd dns 209.165.201.2 209.165.202.129
步骤3	（可选）指定客户机将使用的WINS服务器的IP地址。您最多可指定2个WINS服务器。例如：dhcpd wins 209.165.201.5
步骤4	指定授予客户机的租用时间长度。这相当于客户机在租用到期前可使用分配给它的IP地址的时间长度（以秒为单位）。默认值为3600秒。例如： dhcpd lease 3000
步骤5	（可选）配置客户机将使用的域名。例如：dhcpd domain example.com
步骤6	启动PIX防火墙中的DHCP端口监督程序，以接收启动接口上的DHCP客户机请求。现在您仅可在inside接口（默认值）上启动DHCP服务器特性。例如： dhcpd enable inside

　　下例为上述过程的配置列表。

　　! set the ip address of the inside interface

　　ip address inside 10.0.1.2 255.255.255.0

　　! configure the network parameters the client will use once in the corporate network and

　　dhcpd address 10.0.1.101-10.0.1.110

　　dhcpd dns 209.165.201.2 209.165.202.129

　　dhcpd wins 209.165.201.5

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server daemon on the inside interface

　　dhcpd enable inside

　　下例为DHCP地址池和DNS服务器地址的配置，带启动了DHCP服务器特性的内部接口：

　　dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd dns 209.165.200.227

　　dhcpd enable

　　下例为DHCP地址池的配置，使用auto_config命令来配置dns,wins和域参数： dhcpd address 10.0.1.100-10.0.1.108

　　dhcpd auto_config

　　dhcpd enable

　　下面是远程办公室中一个PIX防火墙上所配置的DHCP服务器和IPSec特性的部分配置范例。PIX 506单元的VPN对等设备是另一PIX防火墙，它的外部接口IP地址为209.165.200.228，作为公司网络的网关。

　　! configure interface ip address

　　ip address outside 209.165.202.129 255.255.255.0

　　ip address inside 172.17.1.1 255.255.255.0

　　! configure ipsec with corporate pix

　　access-list ipsec-peer permit ip 172.17.1.0 255.255.255.0 192.168.0.0 255.255.255.0

　　ipsec transform-set myset esp-des esp-sha-hmac

　　crypto map mymap 10 ipsec-isakmp

　　crypto map mymap 10 match address ipsec-peer

　　crypto map mymap 10 set transform-set myset

　　crypto map mymap 10 set peer 209.165.200.228

　　crypto map mymap interface outside

　　sysopt connection permit-ipsec

　　nat (inside) 0 access-list ipsec-peer

　　isakmp policy 10 authentication preshare

　　isakmp policy 10 encryption des

　　isakmp policy 10 hash sha

　　isakmp policy 10 group 1

　　isakmp policy 10 lifetime 3600

　　isakmp key 12345678 address 0.0.0.0 netmask 0.0.0.0

　　isakmp enable outside

　　!configure dhcp server address

　　dhcpd address 172.17.1.100-172.17.1.109

　　dhcpd dns 192.168.0.20

　　dhcpd wins 192.168.0.10

　　dhcpd lease 3000

　　dhcpd domain example.com

　　! enable dhcp server on inside interface

　　dhcpd enable

　　! use outside interface ip as PAT global address

　　nat (inside) 1 0 0

　　global (outside) 1 interface

　　四、使用SNMP（Using SNMP）

　　snmp_server命令使PIX防火墙可发送SNMP陷阱，以便PIX防火墙可从远程监控。
使用snmp-server host命令来指定哪些系统可接受SNMP陷阱。此部分包括下列内容：

• 简介（Introduction）
• MIB支持（MIB Support）
• SNMP使用率说明（SNMP Usage Notes）
• SNMP陷阱（SNMP Traps）
• 编辑Cisco Syslog MIB文件（Compiling Cisco Syslog MIB Files）
• 使用防火墙和内存池MIB（Using the Firewall and Memory Pool MIBs）

　　简介（Introduction）
可用的PIX防火墙SNMP MIB-II组有系统（System）和接口（Interfaces）。
Cisco防火墙MIB和Cisco内存池MIB也可用。

　　所有SNMP值仅为只读（RO）
使用SNMP，您可以监控PIX防火墙上的系统事件。SNMP事件可以读取，但PIX防
火墙上的信息不能用SNMP更改。SNMP管理站可用的PIX防火墙SNMP陷阱如下所示：

　　·　 通用陷阱
- 上链路和下链路（电缆与接口相连与否；电缆与正在工作还是与非工作状
态的接口相连）
- 冷启动
- 验证故障（公用字符串不匹配）

　　·　 经由Cisco Syslog MIB发送的与安全相关的事件：
- 拒绝全局访问
- 故障转换系统日志信息
- 系统日志信息

　　使用CiscoWorks for Windows或任意其它SNMP V1、MIB-II兼容型浏览器来接收
SNMP陷阱并浏览MIB。SNMP陷阱出现于UDP端口162。
MIB支持（MIB Support）
注意 PIX防火墙不支持Cisco系统日志MIB的浏览。您可浏览MIB-II的系统和接口
组。MIB的浏览与发送陷阱不同。浏览意味着从管理站执行MIB树的snmpget或
snmpwalk命令以确定数值。

PIX防火墙平台中的系统OID
PIX平台	系统 OID
PIX 506	.1.3.6.1.4.1.9.1.389
PIX 515	.1.3.6.1.4.1.9.1.390
PIX 520	.1.3.6.1.4.1.9.1.391
PIX 525	.1.3.6.1.4.1.9.1.392
PIX 535	.1.3.6.1.4.1.9.1.393
其它	.1.3.6.1.4.1.9.1.227 (初始PIX 防火墙OID)

　　接收请求和发送系统日志陷阱

　　按照以下步骤来接收请求并从PIX防火墙向SNMP管理站发送陷阱：

步骤1	用snmp-server host命令确定SNMP管理站的IP地址。
步骤2	按需设置snmp-server的location、contact和community口令选项。如果您只需发送冷启动、上链路、下链路通用陷阱，则无需进一步配置。如果您仅想接收SNMP请求，则无需进一步配置。
步骤3	添加一条snmp-server enable traps命令语句?/td>
步骤4	用logging history命令设置记录级别： logging history debugging 我们建议您在初始设置和测试期间使用debugging级别。然后将级别从debugging降至较低数值以用于生产。 （logging history命令为SNMP系统日志信息设置严重程度）。
步骤5	开始用logging on命令向管理站发送系统日志陷阱。
步骤6	如想禁止发送系统日志陷阱，则使用no logging on或no snmp-server enable traps命令。

　　下表中的命令定义了PIX防火墙可以从位于内部接口上的主机192.168.3.2接收
SNMP请求，但不向任意主机发送SNMP系统日志.
snmp-server host 192.168.3.2
snmp-server location building 42
snmp-server contact polly hedra
snmp-server community ohwhatakeyisthee
location和contact命令确定了主机的位置和谁管理主机。community命令指定
了PIX防火墙SNMP代理和SNMP管理站中使用的口令，以验证两个系统间的网络访问。

　　编辑Cisco系统日志MIB文件（Compiling Cisco Syslog MIB Files）

　　为从PIX防火墙接收安全性和故障转换SNMP陷阱，就需将Cisco SMI MIB和Cisco系
统日志MIB编辑入您的SNMP管理应用。如果您未将Cisco系统日志MIB编辑入您的应
用，您就只能接收用于上或下链路、防火墙冷启动和验证故障的陷阱。

　　在此页中，从Cisco安全和VPN选择列表中选择PIX Firewall。

　　按照以下步骤使用CiscoWorks for Windows (SNMPc)将Cisco系统日志MIB文件编辑
入您的浏览器：

步骤1	获得Cisco系统日志MIB文件。
步骤2	启动SNMPc。
步骤3	点击Config>Complile MIB。
步骤4	滚动光标至列表底部，并点击最后一项。
步骤5	点击Add。
步骤6	发现Cisco系统日志MIB文件。
注意	对某些应用来说，只有带.mib扩展名的文件可以在SNMPc的文件选择窗口中显示。带.my扩展名的Cisco系统日志MIB文件不会显示。在此例中，您应手工地将.my扩展名改为.mib扩展名。
步骤7	点击CISCO-FIREWALL-MIB.my (CISO-FIREWALL-MIB.mib)并点击OK?/td>
步骤8	滚动光标至列表底部，并点击最后一项。
步骤9	点击Add。
步骤10	发现文件CISCO-MEMORY-POOL-MIB.my (CISCO-MEMORY-POOL-MIB.mib)并点击OK。
步骤11	滚动光标至列表底部，并点击最后一项。
步骤12	点击Add。
步骤13	发现文件CISCO-SMI.my (CISCO-SMI.mib)并点击OK。
步骤14	滚动光标至列表底部，并点击最后一项。
步骤15	点击Add。
步骤16	发现文件CISCO-SYSLOG-MIB.my (CISCO-SYSLOG-MIB.mib)并点击OK。
步骤17	点击Load All。
步骤18	如无错误，重启SNMPc。

　　注意 这些指令仅用于SNMPc (CiscoWorks for Windows)。