安全 : Cisco PIX 500 系列安全设备

PIX/ASA:与互联网配置示例的连接一个内部网络

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 23 日) | 反馈


交互:本文档对您的 Cisco 设备进行自定义分析。


目录


简介

此示例配置展示了如何设置 Cisco 安全设备 (PIX/ASA),以便在单个内部网络上使用。

有关与通过命令行界面 (CLI) 或自适应安全设备管理器 (ASDM) 5.x 及更高版本连接到 Internet(或外部网络)的多个内部网络关联的 PIX/ASA 安全设备版本 7.x 及更高版本的详细信息,请参阅 PIX/ASA 7.x 及更高版本使用 Internet 配置连接多个内部网络的示例

参考的ASA 8.3(x) :连接一个内部网络到互联网关于相同配置的更多信息用Cisco可适应安全工具(ASA)有版本8.3和以上的。

开始使用前

先决条件

本文档没有任何特定的前提条件。

使用的组件

本文档中的信息基于以下软件和硬件版本。

  • Cisco PIX 防火墙软件版本 6.x 及更高版本

本文档中的信息都是基于特定实验室环境中的设备创建的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您是在真实网络上操作,请确保您在使用任何命令前已经了解其潜在影响。

相关产品

配置也可用于 Cisco 5500 系列自适应安全设备,这些设备运行版本 7.x 及更高版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 要查找本文档所用命令的其他信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用下图所示的网络设置。

/image/gif/paws/10136/19a_update.gif

注意:此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。leavingcisco.com

PIX 6.x 配置

本文档使用如下所示的配置。

如果您从Cisco设备上获得write terminal命令输出,您可以用来显示潜在问题和修正。 要使用输出结果,您必须是注册用户,并且必须进行登录,还要激活JavaScript。

PIX 6.3 配置
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

路由器配置
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

配置 PIX/ASA 7.x 及更高版本

注意: 非默认命令以粗体显示。

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

注意:有关在 PIX/ASA 上配置 NAT 和 PAT 的详细信息,请参阅 PIX/ASA 7.x NAT 和 PAT 语句

有关在 PIX/ASA 上配置访问列表的详细信息,请参阅 PIX/ASA 7.x:使用 nat、global、static 和 access-list 命令进行端口重定向(转发)

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

注意:有关如何进行 PIX/ASA 故障排除的详细信息,请参阅对通过 PIX 和 ASA 的连接进行故障排除

命令输出解释程序工具仅限注册用户)支持某些 show 命令,使用此工具可以查看对 show 命令输出的分析。

注意: 在发出 debug 命令之前,请参阅有关 Debug 命令的重要信息

  • debug icmp trace - 显示来自主机的 ICMP 请求是否到达 PIX。要运行此调试,需要将 conduit permit icmp any any 命令添加到配置中。但是,完成调试之后请删除 conduit permit icmp any any 命令以避免安全风险。

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 10136