1.interface command
在配置用戶接口的時候我們經常聽到關于接口的專有名詞

hardware_id指ethernet 0,e1,e2 interface_name指outside,inside,dmz

hardware_speed,通產設置為自動，但是cisco推薦我們手動配置速度.關于速度和你選擇的網絡傳輸介質有關.
no shutdown在router上用戶激活這個端口 ，在pix中，沒有no shutdown命令，只有使用到shutdown這個參數，主要用于管理關閉接口.

interface hardware_id hardware_speed [shutdown] interface e0 auto interface e1 auto interface e2 auto

2.nameif command
nameif 主要用于命令一個接口，并且給它分配一個從1到99的安全值，因為外部接口和內部接口都是默認的，分別是0和100,同時默認情況下e0是外部接口，e1是指內部接口.

nameif hardware_id if_name security_level nameif e0 outside 0 nameif e1 inside 100 nameif e2 dmz 50

使用show nameif來查看配置情況
關于security_level值得區別，請都看看我前面寫的.從高安全段的流量到低安全段的流量怎么走，放過又怎么走，需要什么條件才能流進流出.
3.ip address command
cisco pix接口的ip 地址可以從兩個地方來獲得，分別是 manual 和dhcp
ip address用于手動配置一個接口上的ip address,通過將一個邏輯地址添加到一個硬件ID上.

ip address if_name ip_address [netmask] ip address inside 192.168.6.0 255.255.255.0 Remove the currently configured ip address pix(config)#clear ip address  (全部清除ip address) pix(config)#no ip address inside 192.168.6.0 255.255.255.0(清除這個接口的ip address)

4.Nat command
用于一組ip 地址轉換成另外一組ip 地址,昨天我看到6.2版本支持nat outside ip address,不知道這個究竟在什么環境才用到，呵呵
在用nat命令的時候，有個特別的注意點:nat 0有特殊含義，其次nat 總是和global一起使用.

nat (if_name) nat_id local_ip [netmas] nat (inside) 1 192.168.6.0 255.255.255.0

5.Global command
global命令用于定義用nat命令轉換成的地址或者地址范圍，注意global命令中的nat_id需要和你配置的nat命令中的nat_id相同.

global (if_name) nat_id global_ipglobal_ip-global_ip [netmask] global (outside) 1 10.0.0.1 255.0.0.0

(PAT轉換，當你用這個命令，CLI會給你一個警告信息指出pix要PAT的所有地址)

global (outside) 1 10.0.0.1~10.0.0.254 255.0.0.0

這里有這樣一個命令可以在pix檢測轉換表中查看你是否有這個特定ip的入口.show xlate,一般一個被轉換的ip address保存在轉換表中的默認時間是3個小時.你可以通過timeout xlate hh:ss來更改這個設置.
這里你也同樣需要了解PAT是怎么工作的，同樣你要知道PAT也有局限，不能支持H.323和高速緩存使用的名稱服務器，老實說我也不知道這兩個是什么東東:(
6.route command,very important!!!
route告訴我們要在那個特定的接口轉發，并指定那個特定的網絡地址.使用route命令向pix增加一個靜態路由.

route if_name ip_address netmask gateway_ip [metric] 說明一下if_name指你數據要離開處的那個端口 ip_address被路由的ip address netmask被路由的ip address的網絡掩碼 gateway_ip 下一跳的ip address metric到下一個設備的跳數 在pix上用的最多的是配置一個默認路由

route outside 0 0 192.168.1.3 1 其中0 0 表示網段內所有的ip address從outside ip address是192.168.1.3出去
如果你想要測試新的路由配置，在這之前用clear arp清除pix firewall的arp高速緩存is a good idea.
7.RIP command
不講，不想了解，也不知道，沒有見過那個人在配置PIX用過RIP協議的
需要了解的人查書吧，如果你有這方面的經驗，可以寫出來大家share一下:)
8.測試你的配置，一般有幾種，首先查看一下你的配置命令是否正確，show xxxxx來查看。
show interface,
show nameif,
show ip address,
show route,
show nat,
show global 等等.
其次使用ping命令，前提是你需要使用icmp permit any any outside，因為默認情況下pix是拒絕所有來自于外部接口的輸入流量的，除非你使用conduit permit icmp any any ,但是這個命令使你不能ping通外部接口的ip address.最后是用debug命令,debug icmp trace,建議大家可以看看，但是看了之后最好關掉，以便影響pix的performance.
9.配置每一個pix命令是在pix立刻反應出來的，所以你可以嘗試配置，但是不要配置，等你有把握時在保存wr m,但你配置錯誤，你可以reload一下就可以了.
10.pix對dhcp支持
    10.1首先是可以將pix配置為dhcp server.PIX dhcp服務器只能在pix的內部接口上激活，同時你需要查找資料，因為個別的如506/506e，由于OS版本不同，對client ip address支持數目也不同.

dhcpd enable inside dhcpd address 192.168.10.0-192.168.10.200 255.255.255.0 dhcpd lease 2700 (授權用戶的租借長度，默認時間是3600s) dhcpd dns 61.177.7.1 dhcpd wins 61.177.7.1 dhcpd domain testing.cn

10.2可以將pix的外部接口配置為從ISP處接收地址

ip address outside dhcp [setroute] [retry retry_cnt]

setroute告訴pix防火墻使用默認網關參數設置的DHCP服務器返回的默認路由，當使用setroute選項時不再配置默認路由
同樣可以使用ip address dhcp來釋放和重建一個外部接口的ip address
通過show ip address dhcp來查看當前的租借信息.
11.時間設置和NTP支持
手動配置和通過NTP服務器獲得系統時間.
手動配置clock set hh:mm:ss month day year,關于通過NTP來配置，大家查查資料吧，也沒有見過別人來做過，安全要求太高了.