Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Conectando três redes internas com o exemplo de configuração do Internet

18 Outubro 2014 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (19 Setembro 2014) | Feedback


Interativo: Este documento oferece análise personalizada do seu dispositivo Cisco.


Índice


Introdução

Esta configuração de exemplo demonstra como configurar os Cisco Security Appliances (PIX/ASA) com três redes internas. As rotas estáticas são usadas nos roteadores por simplicidade.

Refira ASA 8.3(x): Conecte três redes internas com o exemplo de configuração do Internet para obter mais informações sobre da configuração idêntica com a ferramenta de segurança adaptável de Cisco (ASA) com versão 8.3 e mais recente.

Pré-requisitos

Requisitos

Não existem requisitos específicos para este documento.

Componentes Utilizados

A informação neste documento é baseada no PIX 515 com versão de software de PIX 6.x e acima.

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança adaptável do Cisco 5500 Series que executa a versão 7.x e mais recente.

Convenções

Consulte as Convenções de Dicas Técnicas da Cisco para obter mais informações sobre convenções de documentos.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Use a ferramenta Command Lookup Tool (apenas para clientes registrados) para obter mais informações sobre os comandos usados neste documento.

Diagrama de Rede

Este documento utiliza a seguinte configuração de rede.

Nota: O gateway padrão dos hosts na rede 10.1.1.0 aponta para o RoteadorA. Uma rota padrão no roteadorB é adicionada que aponte ao roteadorA. O roteador A tem uma rota padrão que aponta para a interface dentro do PIX.

/image/gif/paws/10137/19c.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços do RFC 1918 que foram usados em um ambiente de laboratório.

Configuração PIX 6.x

Este documento utiliza estas configurações.

Se tiver a saída de um comando write terminal do dispositivo Cisco, você poderá usar o Output Interpreter (somente para clientes registrados) para exibir os possíveis problemas e soluções.

Configuração do Roteador A
RouterA#show running-config 
Building configuration...

Current configuration : 1151 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 25
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.2.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password ww
login
!
!
end

RouterA#

Configuração do roteador B
RouterB#show running-config
Building configuration...

Current configuration : 1132 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterB
!
boot-start-marker
boot-end-marker
!
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef 
!
!
!
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.3 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.3.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.2
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
stopbits 1
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password cisco
login
!
!
end

RouterB# 

Configuração PIX 6.3
pixfirewall(config)#write terminal
Building configuration...
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu pix/intf2 1500
ip address outside 10.165.200.225 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside

pdm history enable
arp timeout 14400


!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.165.200.228-10.165.200.254 netmask 255.255.255.224

global (outside) 1 10.165.200.227



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 10.0.0.0 255.0.0.0 0 0


!--- Output Suppressed




!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.226 1



!--- Define a route to the ISP router with network 10.2.1.0.


route inside 10.2.1.0 255.255.255.0 10.1.1.2 1



!--- Define a route to the ISP router with network 10.3.1.0.


route inside 10.3.1.0 255.255.255.0 10.1.1.3 1


!--- Output Suppressed



: end
[OK]


!--- Output Suppressed

Configuração PIX/ASA 7.x (e acima)

Nota: Os comandos não-padrão são mostrados em corajoso.

PIX/ASA
pixfirewall#show run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.225 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.165.200.228-10.165.200.254 netmask 255.255.255.224

global (outside) 1 10.165.200.227



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 10.0.0.0 255.0.0.0 0 0


!--- Output Suppressed




!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.226 1



!--- Define a route to the ISP router with network 10.2.1.0.


route inside 10.2.1.0 255.255.255.0 10.1.1.2 1



!--- Define a route to the ISP router with network 10.3.1.0.


route inside 10.3.1.0 255.255.255.0 10.1.1.3 1

: end

Nota: Para obter mais informações sobre de como configurar o NAT e a PANCADINHA no PIX/ASA, refira indicações PIX/ASA 7.x NAT e de PANCADINHA.

Para obter mais informações sobre de como configurar Listas de acesso no PIX/ASA, refira PIX/ASA 7.x: Redirecionamento de porta (transmissão) com nat, o global, estática e comandos access-list.

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

Nota: Para obter mais informações sobre de como pesquisar defeitos o PIX/ASA, consulte para pesquisar defeitos conexões com o PIX e o ASA.

Comandos para Troubleshooting

A Output Interpreter Tool (apenas para clientes registrados) (OIT) suporta determinados comandos show. Use a OIT para exibir uma análise da saída do comando show.

Nota: Consulte Informações Importantes sobre Comandos de Depuração antes de usar comandos debug.

  • debug icmp trace - Exibe se as requisições de ICMP dos hosts alcançam o PIX. Você precisa de adicionar o comando access-list permitir o ICMP em sua configuração a fim executar este debuga.

  • logging buffer debugging - Mostra as conexões estabelecidas e negadas aos hosts que passam pelo PIX.  A informação é armazenada no buffer de registro PIX e a saída pode ser considerada usar o comando show log.

Refira estabelecer o Syslog PIX para obter mais informações sobre de como estabelecer o registo.

Discussões relacionadas da comunidade de suporte da Cisco

A Comunidade de Suporte da Cisco é um fórum onde você pode perguntar e responder, oferecer sugestões e colaborar com colegas.


Informações Relacionadas


Document ID: 10137