Sécurité et VPN : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Connectez le réseau interne simple à l'exemple de configuration d'Internet

18 octobre 2016 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco.


Contenu


Introduction

Cette configuration d'échantillon explique comment installer les appliances de sécurité Cisco (PIX/ASA) pour l'usage sur un réseau interne simple.

Pour plus d'informations sur la version 7.x et ultérieures d'appareils de Sécurité PIX/ASA avec les plusieurs réseaux internes qui se connectent à l'Internet (ou à un réseau externe) à l'interface de ligne de commande (CLI) ou à Adaptive Security Device Manager (ASDM) 5.x et plus tard, référez-vous à PIX/ASA 7.x et plus tard : Connecter plusieurs des réseaux internes à l'exemple de configuration d'Internet.

Référez-vous à ASA 8.3(x) : Connectez un réseau interne simple à l'Internet pour plus d'informations sur la configuration identique à l'appliance de sécurité adaptable Cisco (ASA) à la version 8.3 et ultérieures.

Avant de commencer

Conditions préalables

Aucune condition préalable spécifique n'est requise pour ce document.

Composants utilisés

Les informations dans ce document sont basées sur les versions de logiciel et de matériel ci-dessous.

  • Logiciel pare-feu Cisco PIX Versions 6.x et ultérieures

Les informations présentées dans ce document ont été créées à partir de périphériques dans un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si vous travaillez dans un réseau opérationnel, assurez-vous de bien comprendre l'impact potentiel de toute commande avant de l'utiliser.

Produits connexes

Cette configuration peut également être utilisée avec l'appliance de sécurité adaptable de gamme Cisco 5500, qui exécute la version 7.x et ultérieures.

Conventions

Pour plus d'informations sur des conventions de document, référez-vous au Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant :

/image/gif/paws/10136/19a_update.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.leavingcisco.com

Configuration de PIX 6.x

Ce document utilise les configurations présentées ci-dessous.

Si vous avez la sortie d'une commande de write terminal de votre périphérique de Cisco, vous pouvez utiliser pour afficher des éventuels problèmes et des difficultés. Pour l'utiliser, vous devez être un client enregistré , être connecté, et avoir Javascript activé.

Configuration PIX 6.3
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

Configuration du routeur
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Configurez PIX/ASA 7.x et plus tard

Remarque: Des commandes Nondefault sont illustrées en gras.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

REMARQUE: Pour plus d'informations sur la configuration de NAT et de PAT sur PIX/ASA, référez-vous à PIX/ASA 7.x NAT et TAPOTEZ les déclarations.

Pour plus d'informations sur la configuration des Listes d'accès sur PIX/ASA, référez-vous toPIX/ASA 7.x : Redirection (transfert) de port avec les commandes nat, global, static et access-list.

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

REMARQUE: Pour plus d'informations sur la façon dépanner PIX/ASA, référez-vous dépannent des connexions par le PIX et l'ASA.

Certaines commandes show sont prises en charge par l'Output Interpreter Tool (clients enregistrés uniquement), qui vous permet de voir une analyse de la sortie de la commande show.

Remarque: Avant d'exécuter les commandes debug, référez-vous à la section Informations importantes sur les commandes Debug.

  • mettez au point le suivi d'ICMP - Affiche si les demandes d'ICMP des hôtes atteignent le PIX. Pour exécuter ceci mettez au point, vous doivent ajouter l'ICMP d'autorisation de conduit n'importe quelle n'importe quelle commande à votre configuration. Cependant, quand vous avez terminé le débogage, retirez l'ICMP d'autorisation de conduit n'importe quelle n'importe quelle commande d'éviter des risques de sécurité.


Informations connexes


Document ID: 10136