Chapter 4: indentify the cisco pix firewall Chương NHẬN DẠNG CISCO PIX FIREWALL Tổng quan Chương bao gồm nội dung sau: Mục tiêu  Nhận dạng PIX Firewall 501 controls, đầu nối, LEDs  Nhận dạng PIX Firewall 506 controls, đầu nối, LEDs  Nhận dạng PIX Firewall 515 controls, đầu nối, LEDs  Nhận dạng PIX Firewall 520 controls, đầu nối, LEDs  Nhận dạng PIX Firewall 525 controls, đầu nối, LEDs  Nhận dạng PIX Firewall 535 controls, đầu nối, LEDs Mục tiêu Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 501 Phần giải thích điều khiển kết nối PIX Firewall 501  Power (nguồn) – Khi có màu sáng xanh thiết bị bật  Link/Acc – Khi đèn sáng xanh theo đợt, mạng hoạt động (ví dụ truy cập mạng chẳng hạn) Khi đèn sáng xanh chứng tỏ sử dụng loại cáp, thiết bị kết nối bật nguồn hoạt động Khi đèn tắt, khơng có kết nối thiết lập  VPN tunnel (đường hầm VPN) – đèn sáng xanh, nhiều đường hầm IKE/ IPSec VPN đươc thiết lập đèn sáng tắt, nhiều đường hầm IKE/ IPSec VPN bị vô hiệu hóa Nếu cấu hình chuẩn khơng chỉnh sửa để hỗ trợ đường hầm VPN đèn LED khơng sáng lên mặc định bị vơ hiệu hóa Chú ý: Đèn báo hiệu đường hầm VPN không sáng lên đường hầm PPTP/L2TP thiết lập Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall  100Mbps – Khi đèn sáng xanh giao diện 100Mbps kích hoạt (auto-negotiaed_tự động đàm phán) Khi đèn tắt giao diện 10Mbps kích hoạt Hình vẽ sau thể mặt sau PIX Firewall 501 Dưới đặc tính PIX Firewall 501:  Cổng 10/100 switch - Các cổng nằm auto-sensing (tự động phán đoán), auto-MDIX switch sử dụng cho giao diện bên Kết nối PC bạn thiết bị mạng khác đến cổng đó, đánh số từ đến  Cổng 10BaseT – Cổng 0, cổng Ethernet dạng bán song công (half_duplex) cho mạng công cộng PIX Firewall 501 với cáp Ethernet màu vàng cáp Ethernet màu cam Sử dụng cáp màu vàng để kết nối thiết bị đến switch hub Sử dụng cáp màu cam để kết nối thiết bị đến DSL modem, cáp modem router  Console port (cổng console) – chuẩn RS 232 (RJ-45) tốc độ 9600 baud sử dụng để kết nối máy tính đến PIX Firewall cho hoạt động console Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall  Power connectior (bộ kết nối nguồn) – Sử dụng gắn dây nguồn cung cấp cho PIX Firewall, PIX Firewall 501 khơng có cơng tắc nguồn  Security lock slot  Chú ý: Khi cài đặt PIX Firewall 501, lên mặt phẳng, chắn, khơng di chuyển Nhận dạng điều khiển đầu nối PIX Firewall 506 Phần giải thích điều khiển đầu nối PIX Firewall 506  Power (nguồn) – Khi PIX Firewall bật đèn sáng  ACT – Khi mà software image (ảnh phần mềm) download PIX Firewall 506, đèn sáng  NETWORK (mạng) – Khi nhấy có giao diện mạng có lưu lượng truyền qua đèn sáng Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Trên PIX Firewall 506, kết nối Ethernet thuộc mạng phía Ethernet thuộc mạng phía ngồi Sử dụng cổng console để kết nối máy tính để nhập câu lệnh cấu hình Cổng USB phía trái cổng console khơng sử dụng Kết nối nguồn phía cơng tắc nguồn PIX Firewall 506 sử dụng nguồn cung cấp mở rộng từ AC đến DC  ACT – Hiển thị mạng hoạt động  LINK – Hiển thị liệu chuyển qua mạng mà có đầu nối gắn vào Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 515 Phần giải thích điều khiển đầu nối PIX Firewall 515  Power (nguồn) – Khi PIX bật nguồn đèn sáng  ACT – Khi PIX Firewall sử dụng cấu hình độc lập, đèn sáng Khi PIX Firewall cấu hình cho hoạt động failover đèn sáng PIX Firewall hoạt động (PIX chủ)  Network (mạng) – Đèn sáng có giao diện mạng có lưu lượng truyền qua Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Hình vẽ thể mặt sau PIX Firewall 515 Dưới danh sách đặc tính PIX Firewall 515:  Ethernet connections (các kết nối Ethernet) – Với phần mềm phiên từ 5.2 cao hơn, cổng dù cố định hay không cổng PCI mở rộng, kiểu giao diện nào, FDDI, Token Ring, Fast Ethernet Gigabit Ethernet định vào cổng mạng phía cổng mạng phía ngồi  Console port (cổng console) – Được sử dụng để kết nối máy tính đến PIX Firewall cho hoạt động console  Failover connection (kết nối failover) – Được sử dụng để gắn cáp failover hai PIX Firewall  100 Mbps LED – Truyền thông 100Mbps, 100-baseTX cho đầu nối tương ứng Nếu đèn tắt PIX Firewall 515 tốc độ trao đổi liệu 10Mbps  LINK LED – Chỉ liệu truyền mạng tương ứng với đầu nối gắn vào Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall  FDX LED – Chỉ kết nối sử dụng trao đổi liệu theo kiểu full duplex (song cơng)-dữ liệu truyền nhận đồng thời Nếu đèn tắt kết nối hoạt động chế độ half-duplex (bán song công)  Power switch – Quản lý nguồn PIX Firewall Quad card phần có card Ethernet Khi bạn kết nối cáp mạng vành đai với card bạn phải đầu nối phía bên trái di chuyển sang bên phải Ví dụ, Ethernet đầu nối bên trái nhất, Ethernet đầu nối thứ từ trái sang đến Ethernet Ethernet Chú ý: Số giao diện cực đại cho phép Bất kỳ card thêm vào không chấp nhận Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nếu PIX Firewall bạn có hai card Ethernet đơn cài đặt auxiliary assembly (nhóm/ đơn vị hỗ trợ) phía trái đằng sau PIX Firewall Card đánh số từ xuống mà card phía Ethernet card phía Ethernet Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 520 Phần giải thích điều khiển đầu nối PIX Firewall 520 Đầu nối cáp PIX Firewall 520 nằm phía trước PIX; vài model trước nằm phía sau PIX Firewall 520 hỗ trợ ổ đĩa mềm; công tắc nguồn mặt sau Hai rack-unit cần đến để lắp đặt PIX Firewall 10 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Hình vẽ hiển thị phía trước PIX Firewall 520 thể vị trí đầu nối đơn Khi kết nối cáp với giao diện có cổng đơn PIX Firewall, card giao diện bên cần đặt slot – slot bên trái PIX Card bên phải giao diện bên xem PIX Firewall card giao diện bên trong, khơng phụ thuộc vào vị trí Chú ý: PIX Firewall hỗ trợ đến giao diện 11 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Việc gán số thứ tự giao diện định quad card Hình vẽ thể quad card cài đặt slot 0, slot slot Chú ý khác số thứ tự Trong ví dụ A thể quad card đánh số từ xuống Đầu nối giao diện bên ngồi Ví dụ B mơ tả số thể card giao điện đơn slot quad card slot Ví dụ C mơ tả số thể card giao diện đơn slot slot quad card slot 12 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 525 Phần giải thích điều khiển đầu nối PIX Firewall 525 Có LED phía trước PIX Firewall 525, chức LED thể sau:  Power (nguồn) – Bật đơn vị bật nguồn  ACT – Bật failover đơn vị kích hoạt Nếu có failover, đèn sáng đơn vị hoạt động (active unit) tắt đơn vị dự phòng (standby unit) 13 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Ở phía sau PIX Firewall 525 có đèn LEDs cho cổng giao diện RJ-45 kiểu đầu nối giao diện cố định Các đèn LEDs hiển thị trạng thái truyền sau:  100Mbps – Truyền thông 100BaseTX, 100Mbps Nếu đèn tắt suốt trình mạng hoạt động, cổng sử dụng tốc độ trao đổi liệu 10Mbps  ACT – Cho biết mạng hoạt động  LINK – Cho biết liệu truyền qua giao diện Dưới đầu nối cố định mặt sau PIX Firewall 525  RJ-45 – Đầu nối mạng console  DB-15 – Đầu nối cáp failover  USB – Hiện chưa sử dụng Các kết nối phía trong, phía ngồi mạng vành đai tạo từ cổng sẵn có PIX Firewall 525 Nếu bạn sử dụng cổng Ethernet Ethernet 1, kết nối cáp mạng phía đến đầu nối đánh dấu Ethernet Ethernet cáp mạng phía ngồi lúc cổng Ethernet lại 14 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nếu bạn cài đặt bo mạch cách tùy chọn, danh sách kết hợp sắn có PIX Firewall 525 cho bạn tham khảo Tối đa bo mạch sử dụng với cấp độ cịn hạn chế tối đa bo mạch sử dụng với cấp độ không hạn chế Dưới tùy chọn giao diện có giới hạn (Restriced Interface Options):  Fast Ethernet  Fast Ethernet + VPN Accelerator  Gigabit Ethernet  Gigabit Ethernet + VPN Accelerator  4-Port Fast Ethernet  4-Port Fast Ethernet + VPN Accelerator Dưới tùy chọn giao diện không giới hạn(Unrestricted Interface Options) PIX Firewall 525:  Fast Ethernet  Fast Ethernet + VPN Accelerator  Gigabit Ethernet  Gigabit Ethernet + VPN Accelerator  Gigabit Ethernet + VPN Accelerator  4-port Fast Ethernet  4-port Fast Ethernet + FE  4-port Fast Ethernet + Gigabit Ethernet  4-port Fast Ethernet + VPN Accelerator  4-port Fast Ethernet + VPN Accelerator + FE  4-port Fast Ethernet + VPN Accelerator + Gigabit Ethernet Khi kết nối cáp mạng đến cổng giao diện mở rộng, sử dụng nguyên tắc sau: só cổng mở rộng, tính từ bên trên-bên trái interface cồng ssod từ trái sang phải từ xuống dưới, interface 3, interface tiếp tục… 15 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 535 Phần giải thích điều khiển đầu nối PIX Firewall 535 Có đèn LED mặt trước PIX Firewall 535 Chức chúng sau:  Power (nguồn) – Bật PIX Firewall bật nguồn  ACT – Bật PIX Firewall kich hoạt failover firewall Nếu failover diện đèn sáng PIX Firewall kích hoạt firewall tắt PIX Firewall chế độ dự phòng (standby mode) 16 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Có buses riêng biệt cho khe giao diện (interface slot) PIX Firewall 535 Hình vẽ đưa tham khảo cấu hình interface slot PIX Firewall 535 Các slot buses cấu sau:  Slot – 64-bit/66 MHz Bus  Slot - 64-bit/66 MHz Bus  Slot đến - 32-bit/33 MHz Bus Các thực tế cần làm theo để đạt hiệu suất hệ thống cao PIX Firewall 535  Card giao diện PIX-1GE-66 cài đặt 64-bit/ 66 MHz buses trước chúng cài đặt 32-bit/ 33 MHz buses Nếu cần nhiều card PIX-1GE-66 chúng cài đặt 32-bit/ 33 MHz buses với khả thông lượng bị hạn chế  Card PIX-1GE PIX-1FE cài đặt trước chúng cài đặt 64-bit/66 MHz buses Nếu cần nhiều card PIX-1GE và/hoặc PIX-1FE chúng cài đặt 64-bit/66MHz làm 17 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall việc chậm tốc độ bus giới hạn thông lượng card PIX1GE-66 cài đặt bus Bộ điều hợp PIX-1GE Gigabit Ethernet hỗ trợ PIX 535; Tuy nhiên việc sử dụng chán nản hiệu suất cực đại hệ thống với card PIX-1GE thấp nhiều so với card PIX-1GE-66 Phần mềm hiển thị cảnh báo khởi động phát card PIX-1GE Bảng tổng hợp hiệu suất kết hợp card giao diện khác Interface Card Combination đến PIX-1GE-66 PIX-1GE kết hợp với PIX1GE-66 card PIX-1GE Bất kỳ PIX-1GE-66 PIX-1GE Installes in Interface Slot Numbers Potential Throughput đến Tốt đến Bị giảm đến Bị giảm mạnh Nếu Stateful failover kích hoạt, card giao diện bus sử dụng cho cổng LAN stateful failover cần phải nhanh card nhanh sử dụng cho cổng giao diện mạng Ví dụ giao diện bên bên card PIX1GE-66 cài đặt bus Sau giao diện stateful failover cần cài đặt card PIX-1GE-66 bus Một card PIX-1GE PIX-1FE sử dụng trường hợp này, cài đặt PIX-1GE-66 bus chia sẻ bus với card thấp 18 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN Chapter 4: indentify the cisco pix firewall Được định kiểu giao diện có đèn LEDs cho cổng giao diện mạng Đèn LEDs cho cổng giao diện hiển thị trạng thái truyền đây:  100Mbps – Truyền thông 100 Mbps, 100BaseTX Nếu đèn tắt suốt trình hoạt động mạng, cổng sử dụng tốc độ trao đổi liệu 10Mbps  ACT – Cho biết mạng hoạt động  LINK – Cho biết liệu truyền qua giao diện  FDX – Cho biết kết nối sử dụng trao đổi liệu theo kiểu song công (fullduplex) – liệu truyền nhận đồng thời Nếu đèn tắt giao diện trao đổi liệu theo kiểu bán song công (half-duplex) Khi kết nối cáp mạng phía trong, phí ngồi mạng vành đai đến cổng giao diện PIX 535, phải di chuyển sang trái, đầu nối Ethernet 0, Ethernet 1, Ethernet 2, … Chú ý: PIX Firewall 535 thiết bị với khả rút nóng (hot-swappable) nguồn cung cấp Nếu nguồn cung cấp bị lỗi bạn gỡ bỏ mà khơng cần tắt nguồn PIX Firewall 19 Trần Giáo: Lớp K3D_Khoa CNTT_ĐHTN ... indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 515 Phần giải thích điều khiển đầu nối PIX Firewall 515  Power (nguồn) – Khi PIX bật nguồn đèn sáng  ACT – Khi PIX Firewall. .. 4: indentify the cisco pix firewall Nhận dạng điều khiển đầu nối PIX Firewall 520 Phần giải thích điều khiển đầu nối PIX Firewall 520 Đầu nối cáp PIX Firewall 520 nằm phía trước PIX; vài model... (nguồn) – Bật PIX Firewall bật nguồn  ACT – Bật PIX Firewall kich hoạt failover firewall Nếu failover diện đèn sáng PIX Firewall kích hoạt firewall tắt PIX Firewall chế độ dự phòng (standby mode)