Webové stránky K5
Články zobrazeny celkem: 1239115x  
Nabídka
Úvod
Přehled
K5
Masakr
Tipy
Odkazy
Vyhledávání

Reklama

Cisco PIX 501 Tisk E-mail
Hodnocení čtenářů: / 7
SlabéVynikající 
Napsal K5   
Wednesday, 22. August 2007
Zařízení Cisco PIX 501 je malá "krabička" napájená externím adaptérem, která funguje jako router s firewallem. Oproti jiným malým krabičkám, které nabízejí podobnou funkcionalitu (NAT), je však 10x až 20x dražší (podle toho, jestli si připlatíte za licenci pro další uživatele, pokud je vám 10 uživatelů málo). Zaplatit tisíc korun za Ovislink nebo dvacet tisíc za Cisco je opravdu dost podstatný rozdíl. Navíc ani stahování aktualizací u Cisca není zadarmo. A proč je Cisco tak drahé? Protože je to Mercedes, eventuelně Bavorák, zatím co laciné routery jsou spíš Trabi-like.

Na rozdíl od laciných NAT-only domácích routerů s parodií na firewall (například "Advanced firewall" v D-Link 601 nabízí celá tři (!) pravidla pro celý firewall) nabízí Cisco plnohodnotný router (nikoli "NAT only"), firewall a VPN tunel.

cisco console cable
cisco console cable

Cisco PIX 501 je možné konfigurovat z konzole nebo z internetového prohlížeče. Konzole je dostupná přes klasické sériové rozhraní RS232 a pro propojení s počítačem je potřeba použít standardní "modrý" Cisco kabel (na jednom jeho konci je konektor RJ45 a na druhém konci je 9 pin konektor D-SUB female). Hyperterminál v počítači se musí nastavit následovně:

konfigurace RS232
konfigurace RS232

Zapnutí (boot) Cisco PIX 501 pak může vypadat v hyperterminálu například takto:

Hyperterminál
Hyperterminál

Rozhraní routeru si sice můžete pojmenovat libovolně, ale Cisco používá následující terminologii: WAN rozhraní se jmenuje "outside", LAN rozhraní se jmenuje "inside". V základní konfiguraci PIX 501 nezná žádného uživatele (žádné jméno a žádné heslo), ve skutečnosti existuje uživatel <admin> s nejvyšším oprávněním (level 15), který se přihlašuje příkazem enable a jehož uživatelské jméno je enable_15. Toto zmatené výchozí jméno a heslo se používá takto:

A) z RS232 konzole:
  na příkazový řádek se napíše enable a na dotaz Password se odpoví stiskem ENTER (tedy žádné heslo)
B) z internetového prohlížeče s nainstalovaným jre-1_5_0-windows-i586.exe (vyšší verze JRE nefungují, pokud neprovedete upgrade PDM - a to není zadarmo) zadáte do okna přihlašovacího dialogu:
  obě okénka v přihlašovacím dialogu se nechají prázdná

JRE login
JRE login

Po té, co nastartuje Cisco PIX Device Manager doporučuji jako první nastavit zobrazování příkazů, které bude PDM do PIXu posílat. Je to nejednodušší způsob, jak se příkazy postupně naučit a nenásilně se připravit na práci na konzoli. Popis příkazů najdete například zde.

PDM - Preferences
PDM - Preferences

Pokud potřebujete zinicializovat PIX 501 do výchozího továrního nastavení, postup je jednoduchý. Přímo v PDM je na to volba. To však předpokládá, že víte, jakou má PIX přidělenou IP adresu. Pokud to nevíte a nechcete to zjišťovat (z konzole příkazem show ip), stačí napsat na konzoli pár příkazů (jak vidno, konzoli se stejně nevyhnete).

Nejprve je potřeba se přepnout do režimu, kdy je povoleno něco měnit dvěma příkazy:
enable
configure terminal

Pokud je PIX zaheslovaný a vy heslo neznáte, pak musíte podstoupit peripetii s resetem hesla (po resetu bude heslo cisco). V opačném případě buď zadáte správné heslo nebo žádné heslo (pokud není nastaveno). Po zinicializování PIX 501 do výchozího továrního nastavení již není žádné heslo potřeba. Vlastní reset se pak provede příkazem:
configure factory-default
tento příkaz je identický s následujícím příkazem:
configure factory-default 192.168.1.1 255.255.255.0
což znamená, že rozhraní outside očekává přidělení IP adresy od DHCP serveru, zatím co rozhraní inside má adresu 192.168.1.1/24 a zároveň se spustil DHCP server s poolem 192.168.1.2-192.168.1.33

Já doma používám subnet 10.102.77.16/28 a pro pokusy s PIX 501 tedy potřebuji, aby mělo rozhraní inside IP adresu 10.102.77.30 a neběžel na něm DHCP server (o to se mi stará m0n0wall). Nastavit jinou IP adresu rozhraní a/nebo DHCP poolu nejde, protože změna IP adresy (příkazem ip address inside 10.102.77.30 255.255.255.240) hlásí chybu, že není v rozsahu DHCP poolu a změna rozsahu DHCP poolu (příkazem dhcpd address 10.102.77.18-10.102.77.19 inside) hlásí chybu, že není v rozsahu IP adresy. Přičemž zakázat DHCP server na rozhraní inside nestačí (příkazem no dhcpd enable inside). Naštěstí je možné DHCP pool úplně vymazat (příkazem no dhcpd address inside) a pak už změně IP adresy nic nebrání. Dále je zapotřebí povolit přístup přes webové rozhraní (příkazem http 10.102.77.16 255.255.255.240 inside) a na závěr konfiguraci uložit do FLASH memory PIXu (příkazem write mem). Když se to neudělá, po vypnutí nebo restartu (příkazem reboot) se konfigurace vrátí do posledního uloženého stavu. Pro ilustraci zde uvádím posloupnost potřebných příkazů plus několik příkazů navíc:
configure factory-default 192.168.1.1 255.255.255.0
no dhcpd address inside
ip address inside 10.102.77.30 255.255.255.240
http 10.102.77.16 255.255.255.240 inside
pdm location 10.102.77.16 255.255.255.240 inside
pdm location 192.168.1.1 255.255.255.0 inside
ntp server 195.113.144.238 source inside prefer
ntp server 195.113.144.201 source inside
clock timezone CEST 1 0
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00 60
hostname ciscopix501
domain k5.klfree.czf
enable password HESLO level 15
username root password HESLO privilege 15
write mem
K tomu jen tolik: jakmile se nastaví uživateli s úrovní oprávnění 15 nějaké heslo (zde HESLO), nelze mu ho vymazat. Heslo musí mít alespoň 3 znaky. Celý předchozí odstavec lze zkopírovat do schránky a vložit do Hyperterminálu - tím se postupně vykonají všechny příkazy (není tedy nutné je datlovat ručně). Webové rozhraní používá šifrovaný přenos, proto se musí otevřít přes https ( v mém případě https://ciscopix501.k5.klfree.czf/ nebo https://10.102.77.30/ ), tím se (pokud vůbec) rozběhne Java applet ve vyskakovacím okně a tudíž lze začít konfigurovat router, firewall, VPN, atd. "klikáním" (ne že by to bylo o moc jednodušší, než z příkazové řádky konzole).

Pokud je rozhraní outside v režimu DHCP klient (očekává přidělení IP adresy od DHCP serveru), je vše ze strany outside OK. Pokud však v subnetu, ve kterém se nachází rozhraní outside, není DHCP server, nastává situace, kdy se musí všechny údaje pro outside nastavit ručně (viz příkazy níže). Tzn. IP adresa, maska sítě, výchozí brána a DNS. Cisco PIX 501 neumí fungovat jako DNS forwarder, takže počítačům v subnetu obhospodařovaným rozhraním inside nelze nastavit jako DNS adresu rozhraní inside PIXu.
no dhcpd address outside
ip address outside 10.102.77.2 255.255.255.248
route outside 0.0.0.0 0.0.0.0 10.102.77.1
dhcpd dns 10.102.77.1
Adresa 10.102.77.1 je v příkladu výše jak výchozí brána ze subnetu 10.102.77.0/29, tak DNS server. Pokud má být vnitřní subnet (inside a spol.) za NATem s defaultním rozsahem IP adres, pak v konfiguraci nesmí chybět ještě toto:
nat (inside) 1 0.0.0.0 0.0.0.0
global (outside) 1 192.168.1.2-192.168.1.31
Cisco PDM
Cisco PDM

Hotovou konfiguraci doporučuji hned uložit mimo PIX 501, k tomu je však zapotřebí TFTP server. A jak si takový TFTP server dopřát? Zde stáhneme a rozbalíme soubor 3cdvxxxx.zip (například 3cdv2r10.zip), který obsahuje instalátor programu 3CDaemon. Spustíme SETUP.EXE a 3CDaemon nainstalujeme. Poté 3CDaemon spustíme a alespoň trochu ho nakonfigurujeme (přinejmenším složku, kam se mají ukládat příchozí data). Tím že na počítači běží TFTP daemon, funguje počítač jako TFTP server a je schopen přijímat data, která mu PIX 501 pošle (ev. obráceně: dokáže posílat data do PIX 501). Příkaz pro přenos dat směrem PIX->PC má syntaxi write net <tftp_ip>:/<filename> a příkaz pro přenos dat směrem PC->PIX má syntaxi copy tftp://<tftp_ip>:/<filename> flash:[image|pdm]

Cisco PIX 501 mainboard
Cisco PIX 501 mainboard

Cisco PIX 501 mainboard
Cisco PIX 501 mainboard

Cisco PIX 501 zadek
Cisco PIX 501 zadek

Cisco PIX 501 předek
Cisco PIX 501 předek

Zcela záměrně se zde nepouštím do porovnávání routerů Cisco PIX 501 a m0n0wall. Je to dáno tím, že m0n0wall používám od přelomu let 2003/2004, tedy s ním mám letité (a velmi dobré) zkušenosti, zatím co Cisco PIX 501 mi teď pár dní sloužilo pouze "na hraní".

 
< Předch.   Další >

Google

Reklama

Nahlédněte
Futurama
BSG
MAME
SORD M5
VMware
Total Commander
ALIX a m0n0wall
Cisco PIX
Nejnovější
Nejčtenější
Viz též
   Úvod arrow K5 arrow Taxem zase jednou něco dělal arrow Cisco PIX 501
Powered by Joomla!