Sécurité : Dispositifs de sécurité de la gamme Cisco PIX 500

PIX/ASA : Exemple de configuration de la connexion de deux réseaux internes à Internet

17 décembre 2015 - Traduction automatique
Autres versions: PDFpdf | Anglais (22 août 2015) | Commentaires


Interactif : Ce document propose une analyse personnalisée de votre périphérique Cisco.


Contenu


Introduction

Cette configuration d'échantillon explique comment installer les appliances de sécurité Cisco (PIX/ASA) pour l'usage avec deux réseaux internes.

Référez-vous à ASA 8.3(x) : Connectez deux réseaux internes à l'exemple de configuration d'Internet pour plus d'informations sur la configuration identique avec l'appliance de sécurité adaptable Cisco (ASA) avec la version 8.3 et ultérieures.

Conditions préalables

Conditions requises

Quand vous ajoutez un deuxième réseau interne derrière un Pare-feu PIX, maintenez dans l'esprit les points suivants.

  • Le PIX ne peut conduire aucun paquets.

  • Le PIX ne prend en charge pas l'adressage secondaire.

  • Un routeur doit être utilisé derrière le PIX pour réaliser le routage entre le réseau existant et le réseau nouvellement ajouté.

  • La passerelle par défaut de tous les hôtes devrait être placée indication le routeur interne.

  • Ajoutez un default route sur le routeur interne indiquant le PIX.

  • Souvenez-vous pour effacer le cache de Protocole ARP (Address Resolution Protocol) sur le routeur interne.

Composants utilisés

Les informations contenues dans ce document sont basées sur les versions de matériel et de logiciel suivantes :

  • Logiciel pare-feu Cisco PIX Versions 6.x et ultérieures

Les informations contenues dans ce document ont été créées à partir des périphériques d'un environnement de laboratoire spécifique. Tous les périphériques utilisés dans ce document ont démarré avec une configuration effacée (par défaut). Si votre réseau est opérationnel, assurez-vous que vous comprenez l'effet potentiel de toute commande.

Produits connexes

Cette configuration peut également être utilisée avec le serveur de sécurité adaptatif dédié de la gamme Cisco 5500, qui exécute les versions 7.x et ultérieures.

Conventions

Pour plus d'informations sur les conventions de documents, reportez-vous à Conventions relatives aux conseils techniques Cisco.

Configurez

Cette section vous fournit des informations pour configurer les fonctionnalités décrites dans ce document.

Remarque: Pour obtenir des informations supplémentaires sur les commandes utilisées dans ce document, utilisez l'Outil de recherche de commande (clients enregistrés seulement).

Diagramme du réseau

Ce document utilise la configuration réseau indiquée dans le diagramme suivant.

/image/gif/paws/10138/19b-1.gif

Remarque: Les schémas d'adressage d'IP utilisés dans cette configuration ne sont pas légalement routables sur Internet. Ce sont des adresses RFC 1918 qui ont été utilisées dans un environnement de laboratoire.

Configuration de PIX 6.x

Ce document utilise les configurations indiquées ici.

Si vous disposez de la sortie d'une commande write terminal de votre périphérique Cisco, vous pouvez utiliser l'Outil Interpréteur de sortie (clients inscrits uniquement) pour afficher les problèmes potentiels ainsi que les correctifs.

Configuration PIX 6.3
PIX Version 6.3(3)

nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed






!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu intf2 1500


!--- These commands define an IP address for each interface.


ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0

arp timeout 14400


!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2
: end         
[OK]

!--- Output Suppressed

Configuration du routeur B
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the PIX-facing Ethernet interface.

 ip address 10.1.2.1 255.255.255.0 

 no ip directed-broadcast

!
interface BRI1/0
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/1
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/2
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/3
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the PIX.

ip route 0.0.0.0 0.0.0.0 10.1.1.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Configurez PIX/ASA 7.x et plus tard

Remarque: Des commandes Nondefault sont illustrées en gras.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable



!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2

: end

!--- Output Suppressed

REMARQUE: Pour plus d'informations sur la configuration de NAT et le PAT sur PIX/ASA référez-vous le document PIX/ASA 7.x NAT et TAPOTEZ les déclarations

Pour plus d'informations sur configurer des listes d'Acess sur PIX/ASA référez-vous le document PIX/ASA 7.x : Redirection (transfert) de port avec les commandes nat, global, static et access-list

Vérifiez

Aucune procédure de vérification n'est disponible pour cette configuration.

Dépannez

Cette section fournit des informations que vous pouvez utiliser pour dépanner votre configuration.

REMARQUE: Pour plus d'informations sur la façon de dépanner PIX/ASA, consultez Dépanner les connexions via le PIX et l'ASA.

Dépannage des commandes

Remarque: Avant d'émettre des commandes debug, reportez-vous aux Informations importantes sur les commandes de débogage.

  • mettez au point le suivi d'ICMP — Affiche si les demandes d'ICMP des hôtes atteignent le PIX. Pour exécuter ceci mettez au point, vous doivent ajouter l'ICMP d'autorisation de conduit n'importe quelle n'importe quelle commande à votre configuration. Cependant, quand vous avez terminé le débogage, retirez l'ICMP d'autorisation de conduit n'importe quelle n'importe quelle commande d'éviter des risques de sécurité.

Les informations à collecter si vous ouvrez une valise de support technique de Cisco

Si vous avez besoin toujours d'assistance après que vous suiviez les étapes de dépannage dans ce document et vouliez ouvrir une valise avec le support technique de Cisco, soyez sûr d'inclure ces informations pour dépanner votre Pare-feu PIX.
  • Description du problème et des détails de topologie pertinents
  • Le dépannage a exécuté avant d'ouvrir le cas.
  • La sortie de la commande show tech-support.
  • Sortie du show log command après s'être exécuté avec la commande de logging buffered debugging, ou captures de console qui expliquent le problème (si disponible).
  • Sortie de la commande trace d'ICMP de débogage comme vous tentez de passer le trafic d'ICMP par le Pare-feu.
Attachez les données rassemblées à votre dossier dans un format de texte brut (.txt) non compressé. Vous pouvez joindre des informations à votre cas en les téléchargeant à l'aide de TAC Service Request Tool ( clients enregistrés uniquement). Si vous ne pouvez pas accéder à l'outil de demande de service, vous pouvez envoyer les informations dans une pièce jointe à un courriel à attach@cisco.com avec votre numéro de dossier dans le champ objet de votre message.

Conversations connexes de la communauté de soutien de Cisco

Le site Cisco Support Community est un forum où vous pouvez poser des questions, répondre à des questions, faire part de suggestions et collaborer avec vos pairs.


Informations connexes


Document ID: 10138