Segurança : Dispositivos de segurança Cisco PIX 500 Series

PIX/ASA: Conectando duas redes internas com o exemplo de configuração do Internet

14 Outubro 2016 - Tradução por Computador
Outras Versões: Versão em PDFpdf | Inglês (22 Agosto 2015) | Feedback


Interativo: Este documento oferece análise personalizada do seu dispositivo Cisco.


Índice


Introdução

Esta configuração de exemplo demonstra como estabelecer os dispositivos do Cisco Security (PIX/ASA) para o uso com duas redes internas.

Refira ASA 8.3(x): Conecte duas redes internas com o exemplo de configuração do Internet para obter mais informações sobre da configuração idêntica com a ferramenta de segurança adaptável de Cisco (ASA) com versão 8.3 e mais recente.

Pré-requisitos

Requisitos

Quando você adiciona uma segunda rede interna atrás de um PIX Firewall, mantenha na mente os seguintes pontos.

  • O PIX não pode distribuir nenhuns pacotes.

  • O PIX não apoia o endereçamento secundário.

  • Um roteador tem que ser usado atrás do PIX para conseguir o roteamento entre a rede existente e a rede recentemente adicionada.

  • O gateway padrão de todos os anfitriões deve ser ajustado apontar ao roteador interno.

  • Adicionar uma rota padrão no roteador interno que aponta ao PIX.

  • Recorde cancelar o esconderijo do Address Resolution Protocol (ARP) no roteador interno.

Componentes Utilizados

As informações neste documento são baseadas nestas versões de software e hardware:

  • Liberação de Software do firewall Cisco PIX 6.x e mais tarde

As informações neste documento foram criadas a partir de dispositivos em um ambiente de laboratório específico. Todos os dispositivos utilizados neste documento foram iniciados com uma configuração (padrão) inicial. Se a sua rede estiver ativa, certifique-se de que entende o impacto potencial de qualquer comando.

Produtos Relacionados

Esta configuração pode igualmente ser usada com a ferramenta de segurança adaptável do Cisco 5500 Series, que executa a versão 7.x e mais recente.

Convenções

Para obter mais informações sobre convenções de documento, consulte as Convenções de dicas técnicas Cisco.

Configurar

Nesta seção, você encontrará informações para configurar os recursos descritos neste documento.

Nota: Para localizar informações adicionais sobre os comandos usados neste documento, utilize a Ferramenta Command Lookup (somente clientes registrados).

Diagrama de Rede

Este documento utiliza a configuração de rede mostrada neste diagrama.

/image/gif/paws/10138/19b-1.gif

Nota: Os esquemas de endereçamento IP usados nesta configuração não são legalmente roteáveis na Internet. São os endereços do RFC 1918, que foram usados em um ambiente de laboratório.

Configuração PIX 6.x

Este documento utiliza as configurações mostradas aqui.

Se tiver a saída de um comando write terminal do dispositivo Cisco, você poderá usar o Output Interpreter (somente para clientes registrados) para exibir os possíveis problemas e soluções.

Configuração PIX 6.3
PIX Version 6.3(3)

nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed






!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu intf2 1500


!--- These commands define an IP address for each interface.


ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0

arp timeout 14400


!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2
: end         
[OK]

!--- Output Suppressed

Configuração do Roteador B
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the PIX-facing Ethernet interface.

 ip address 10.1.2.1 255.255.255.0 

 no ip directed-broadcast

!
interface BRI1/0
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/1
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/2
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/3
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the PIX.

ip route 0.0.0.0 0.0.0.0 10.1.1.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Configurar PIX/ASA 7.x e mais tarde

Nota: Os comandos não-padrão são mostrados em corajoso.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable



!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2

: end

!--- Output Suppressed

NOTA: Para obter mais informações sobre de configurar o NAT e a PANCADINHA no PIX/ASA consulte o documento PIX/ASA 7.x NAT e indicações da PANCADINHA

Para obter mais informações sobre de configurar lista de Acess no PIX/ASA consulte o documento PIX/ASA 7.x: Mova Redirection(Forwarding) com nat, o global, estática e comandos access-list

Verificar

No momento, não há procedimento de verificação disponível para esta configuração.

Troubleshooting

Esta seção fornece informações que podem ser usadas para o troubleshooting da sua configuração.

NOTA: Para obter mais informações sobre de como pesquisar defeitos o PIX/ASA, consulte para pesquisar defeitos conexões com o PIX e o ASA.

Comandos para Troubleshooting

Nota: Antes de emitir comandos de depuração, consulte Informações Importantes sobre Comandos de Depuração.

  • debug icmp trace - Exibe se as requisições de ICMP dos hosts alcançam o PIX. Para executar esta depuração, você precisa adicionar o comando conduit permit icmp any any à sua configuração. Contudo, quando você terminou debugar, remova o comando conduit permit icmp any any evitar riscos de segurança.

Informações a serem coletadas se você abrir um caso de suporte técnico Cisco

Se você ainda precisa o auxílio depois que você segue os passos de Troubleshooting neste documento e os quer abrir um caso com Suporte técnico de Cisco, seja certo incluir esta informação para pesquisar defeitos seu PIX Firewall.
  • Descrição do problema e detalhes relevantes da topologia.
  • Troubleshooting realizado antes da abertura do caso.
  • Saída do comando show tech-support.
  • Saída do comando show log após ser executado com o comando logging buffered debugging, ou capturas de console que demonstram o problema (se disponível).
  • Saída do comando debug icmp trace como você tenta passar o tráfego ICMP com o Firewall.
Anexe os dados coletados à sua ocorrência em formato de texto simples descompactado (.txt). Você pode anexar a informação a seu caso transferindo arquivos pela rede o que usa a ferramenta do pedido do serviço TAC (clientes registrados somente). Se você não pode alcançar a ferramenta do pedido do serviço, você pode enviar a informação em um anexo de Email a attach@cisco.com com seu número de caso na linha de assunto de sua mensagem.


Informações Relacionadas


Document ID: 10138