【正文】 onfigurationinterface 如果兩設備的startupconfig不同，在設備啟動后，Secondary設備會根據Primary設備的runningconfig同步自己的runningconfig；178。 在active設備上輸入write 當standby設備完成初始化啟動時，會從active設備同步配置；178。failover中，我們可以將statelink。Ethernet（GE）（1000BASET）full Fast當failover事件發(fā)生時，由于在新的Active設備上已經有了這些連接狀態(tài)信息，所以用戶不用重新連接就能繼續(xù)通訊。 常規(guī)Failover（Regularmac Secondary設備成為active，但無法通過failoverfailover中，Primary和Sencondary設備是在配置文件中設定的。 當前負責轉發(fā)網絡流量的設備就是Active設備，另一臺是Standby設備。 配置同步的速度快178。Link的交換機會成為另一個硬件的故障點178。 standby設備的配置需要單獨設置（在cablebased注意，此方式一定要通過交換機（推薦使用單獨的交換機）進行連接，而不能通過交叉線直接連接兩機的以太口。設備。failover”）——，建議使用這種方式。 Hello信息包（也通過所有其它端口發(fā)送）178。Link用于設備間相互溝通彼此的工作狀態(tài)，F(xiàn)ailover缺省值為5分鐘nat （inside） 1 0 0!允許內部用戶發(fā)起到低安全級接口（DMZ1，DMZ2，DMZ3，DMZ4和外部接口）上的連接nat（dmz1） 1 0 0!允許dmz1用戶發(fā)起到低安全級接口（外部接口）上的連接nat（dmz2） 1 0 0!允許dmz2用戶發(fā)起到低安全級接口（DMZ1，外部接口）上的連接nat（dmz3） 1 0 0!允許dmz3用戶發(fā)起到低安全級接口（dmz2，dmz1，外部接口）上的連接nat（dmz4） 1 0 0!允許dmz4用戶發(fā)起到低安全級接口（DMZ1，DMZ2，DMZ3，外部接口）上的連接global （outside）1 netmask global （outside） 1 netmask !為外部接口建立一個全局地址池，以便其他接口上的用戶訪問因特網。PIX防火墻檢測接口IP地址確保其為內部接口。缺省配置中提供該命令。interface ethernet0 autointerface ethernet1 autointerface ethernet2 autointerface ethernet3 autointerface ethernet4 autointerface ethernet5 auto!缺省配置下，PIX防火墻為六接口提供interface命令語句。靜態(tài)route命令的格式如下：route inside 1。178。178。178。第二個IP地址是服務器的準確地址。 為允許從內部接口和dmz2，dmz3，dmz4接口轉換來的連接訪問dmz1接口，使用如下命令：global （dmz1） 1 178。 為使dmz2接口上的用戶能夠啟動外部接口及dmz1 接口上的連接使用如下命令：nat （dmz2） 1 0 0178。nat命令允許用戶發(fā)起從指定接口到所有低安全級接口的連接，global命令允許訪問從任一高安全級接口轉換來的連接。下面的例子中，所有接口上的用戶可以訪問所有服務器，而在內部、dmzdmzdmz3和dmz4接口上的主機可以啟動連接。any等 251 綜述本配置手冊介紹了Cisco PIX防火墻的幾種典型的配置場景，以加強防火墻對網絡的安全防護作用。outside的策略不嚴格，如any224。2 CISCO PIX的幾種典型配置 典型配置（1）——訪問控制、包過濾和NAT 網絡拓撲圖 配置環(huán)境本配置中沒有用戶認證和授權，NAT（網絡地址轉換）完成地址轉換工作。nat、global命令與NAT ID（本配置事例中為1）聯(lián)合使用。 為使dmz1接口上的用戶能夠啟動外部接口上的連接使用如下命令：nat （dmz1） 1 0 0178。 為允許從內部接口和dmz1，dmz2，dmz3，dmz4接口轉換來的連接訪問外部接口，使用如下命令：global （outside） 1 178。static命令行中的第一個IP地址是低安全級接口上的用戶在訪問高安全級接口上的服務器時使用的地址。 外部接口：， 一個PAT。 DMZ2接口：。 DMZ4接口：。靜態(tài)route命令語句指出接到接口路由器的網絡的流量。在這種情況下，缺省的周邊名可以從dmz21到dmz24變化。arp timeout 14400!設置ARP超時為14400秒（4小時）?？蛻粜枰獮檫吔缃涌谠黾覯TU命令telnet telnet timeout 15!授權dmz2主機可以使用Telnet訪問防火墻控制臺。利用timeout特性設定PIX防火墻關閉連接前telnet組可以空閑的最大時間為15分鐘。global （dmz3） 1 !允許內部接口和DMZ4 接口的用戶訪問dmz3接口global （dmz4） 1 netmask !允許內部接口的用戶訪問dmz4接口，static （dmz1，outside） netmask conduit permit tcp host eq smtp any!允許外部用戶訪問dmz1接口上的郵件服務器static （dmz2，outside） netmask conduit permit tcp host eq telnet any!允許外部用戶訪問dmz2接口上的Telent服務器static （dmz2，DMZ1） netmask conduit permit tcp host eq telnet any!允許dmz1用戶訪問dmz2接口上的Telent服務器 典型配置（2）——IPsec VPN Tunnel 網絡拓撲圖 配置 PIX1配置PIX防火墻1的步驟如下：步驟1：定義主機名：hostname NewYork步驟2：定義域名：domainname 步驟3：建立一個靜態(tài)網絡：static （inside，outside） 步驟4：配置ISKMP策略：isakmp enable outsideisakmp policy 9 authenticati