En Cisco PIX är en hårdvarubrandvägg som fungerar ungefär som en router bara det att den är specialanpassad för just säkerhet och kontroll av datatrafik. PIX står för Private Internet eXchange. En nyare variant är ASA som står för Adaptive Security Applience. GNS3 emulatorn stödjer för tillfället inte ASA-varianten. Så istället får ni köra med PIX så länge i era laborationer.
Introduktion
Som jag sade är PIX en hårdvarubaserad brandvägg. Den går att simulera i GNS3 men det är inte helt problemfritt. För att en PIX IOS ska fungera korrekt krävs det att man använder ett giltigt serienummer (eng. Serial Number) och Aktiveringsnyckel (eng. Activation Key). För att få tag på dessa måste man ha ett giltigt Cisco Support kontrakt, eller så kan man Googla, men det första är nog att föredra. Fråga inte mig om ni kan få dessa nycklar av mig.
PIX IOS
Nu ska jag gå igenom lite snabbt hur man aktiverar en Cisco PIX brandvägg i GNS3. För det första måste ni få tag på en Cisco PIX IOS och exempel på versioner visas här nedanför.
pix635.binDet IOS jag använder vid laborationer är pix802.bin men det ska troligen inte skilja så värst mycket.
pix722.bin
pix802.bin (*)
pix803.bin
Konfigurera GNS3
1. Gå till menyn Edit, Preferences och klicka på Pemu i listan till vänster.
Nu i rutan till höger kontrollerar ni att sökvägen till Pemuwrapper.exe är korrekt.
2. Längre ner under Defaults PIX Settings ställer ni in vilken PIX IOS ni vill använda i både PIX Image och Base flash. Sedan måste ni fylla i korrekt Serial för att få det att fungera.
3. Klicka sedan på Apply och OK.
Sätta upp en PIX
(Klicka på bilden för att förstora)
Dra ut en brandvägg-ikon (PIX firewall) och starta den. Telneta sedan in till den och vänta på att ni ska komma fram till inloggningen. Efter att den har gjort det trycker ni ENTER och skriver enable. Lösenordet är tomt så tryck ENTER igen.
Nu borde ni vara i Privileged EXEC Mode så skriv show version för att visa information om den aktuella PIX-brandväggen. Längst ner står det att det är en "Restricted (R) License".
Om ni har korrekt serienummer och aktiveringsnyckel så behöver ni bara gå till Global Configuration Mode och köra kommandot activation-key följt av fyra grupper med en hexadecimal representation av aktiveringsnyckeln med ett blanksteg mellan varje grupp (t.ex 0x00000000 0x00000000 0x00000000 0x00000000).
Efter att ni har skrivit in aktiveringsnyckeln och den har blivit kontrollerad kommer ni få en förfrågning om ni verkligen vill göra detta. Svara OK och då får ni ett nytt meddelande som lyder att de nya egenskaperna endast aktiveras efter en omstart. Problemet är bara att om man startar om något i GNS3 så förloras alla inställningar. Så därför måste vi skapa ett projekt först.
Spara aktiveringsnyckel och aktivera nya egenskaper för PIX
Nu ska vi omvandla den till "Unrestricted (UR) License" och för att göra detta måste vi första spara konfigurationen med kommandot write.
I GNS3 går ni till menyn File, New project och låter båda kryssrutorna vara ifyllda. Se bilden.
(Klicka på bilden för att förstora)
Välj var ni vill spara ert projekt och ni är färdiga. Stäng ner brandväggen och starta upp den en gång till. Om nu allt har gått väl och om ni har använt korrekta nycklar så borde PIXen ha laddat om sig och laddat in de nya egenskaperna för en "Unrestricted (UR) License".
Notera även att den running-config ni hade förut är kvar. Här nedanför ser ni en bild som visar ett exempel på hur det kan se ut för en PIX v8.02 med nya egenskaper aktiverade. Notera att PIXen nu även har stöd för "VPN-3DES-AES". Det passar utmärkt för VPN-laborationer.
(Klicka på bilden för att förstora)
Som ni kanske förstår har jag inte tillåtelse att lämna ut serienumret eller aktiveringsnyckeln. De få ni leta upp själva.
Sänka belastningen på din dators CPU
I GNS3/Dynamips kan man inte sätta ett IDLE-PC värde på en PIX brandvägg så därför måste man ta till ett annat smart knep. Man får helt enkelt använda ett program som kan styra hur mycket processorkraft en process i datorn får lov att ta upp.
Det finns ett sådant program som heter BES - Battle Encoder Shirase och i nuläget är den i version 1.3.7 beta. Programmet används mycket av användare i ett community/forum på adressen 7200emu.hacki.at. Ingen installation krävs och det har blivit testat av mig för virus med programvaran Nod32.
När ni har fått igång programmet (i Windows XP) så letar ni upp processen pemu.exe. Ni kan begränsa processorkraften till under 10%. Själv har jag under 4% och min PIX fungerar perfekt.
Kommandon
Här följer en lista på de kommandon som användes i artikeln.
pixfirewall> enable
Password: ENTER
pixfirewall# ! Verifiera PIX version och egenskaper (innan)
pixfirewall# show version
pixfirewall# conf t
pixfirewall(config)# activation-key 0x00000000 0x00000000 0x00000000 0x00000000
pixfirewall(config)# exit
pixfirewall# write
! Spara projektet, stäng ner PIX, starta om PIX, logga in igen
pixfirewall> enable
Password: ENTER
pixfirewall# show version
Cisco PIX Security Appliance Software Version 8.0(2)
Compiled on Fri 15-Jun-07 18:25 by builders
System image file is "Unknown, monitor mode tftp booted image"
Config file at boot was "startup-config"
pixfirewall up 9 secs
Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz
Flash E28F128J3 @ 0xfff00000, 16MB
BIOS Flash AM29F400B @ 0xfffd8000, 32KB
0: Ext: Ethernet0 : address is 0000.abcd.ef00, irq 9
1: Ext: Ethernet1 : address is 0000.abcd.ef01, irq 11
2: Ext: Ethernet2 : address is 0000.abcd.ef02, irq 11
3: Ext: Ethernet3 : address is 0000.abcd.ef03, irq 11
4: Ext: Ethernet4 : address is 0000.abcd.ef04, irq 11
Licensed features for this platform:
Maximum Physical Interfaces : 10
Maximum VLANs : 100
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Cut-through Proxy : Enabled
Guards : Enabled
URL Filtering : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
VPN Peers : Unlimited
This platform has an Unrestricted (UR) license.
Serial Number: 000000000
Running Activation Key: 0x00000000 0x00000000 0x00000000 0x00000000
Configuration has not been modified since last system restart.
pixfirewall#
! Färdiga
Referenser
Spara projekt och konfiguration i GNS3
Blindhog save router configs
CCIE: Using GNS3 to master Cisco PIX
CCIE: Transparent Firewall GNS3 lab (väldigt grundläggande)
Community forum om Dynamips, GNS3 och övrigt inom Cisco
http://mion.faireal.net/BES/ -- Ladda ner BES för att minska CPU belastningen
Inga kommentarer:
Skicka en kommentar