安全 : Cisco PIX 500 系列安全设备

PIX/ASA:连接两个内部网络到Internet的配置示例

2015 年 8 月 28 日 - 机器翻译
其他版本: PDFpdf | 英语 (2015 年 4 月 22 日) | 反馈


交互:本文档对您的 Cisco 设备进行自定义分析。


目录


简介

此示例配置展示了如何设置 Cisco 安全设备 (PIX/ASA),以便在两个内部网络上使用。

参考的ASA 8.3(x) :连接与互联网配置示例的两个内部网络关于相同配置的更多信息用Cisco可适应安全工具(ASA)有版本8.3和以上的。

先决条件

要求

在 PIX 防火墙后添加第二个内部网络时,请记住以下要点。

  • PIX 无法路由任何数据包。

  • PIX 不支持辅助编址。

  • 需要在 PIX 后使用路由器,这样才能在现有网络和新添加的网络之间实现路由。

  • 应该将所有主机的默认网关设置为指向内部路由器。

  • 在指向 PIX 的内部路由器上添加默认路由。

  • 请记住,应清除内部路由器上的 Address Resolution Protocol (ARP) 缓存。

使用的组件

本文档中的信息基于以下软件和硬件版本:

  • Cisco PIX 防火墙软件版本 6.x 及更高版本

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。

相关产品

配置也可用于 Cisco 5500 系列自适应安全设备,这些设备运行版本 7.x 及更高版本。

规则

有关文档规则的详细信息,请参阅 Cisco 技术提示规则

配置

本部分提供有关如何配置本文档所述功能的信息。

注意: 要查找本文档所用命令的其他信息,请使用命令查找工具仅限注册用户)。

网络图

本文档使用此图所示的网络设置。

/image/gif/paws/10138/19b-1.gif

注意:此配置中使用的 IP 编址方案在 Internet 上不可合法路由。这些地址是在实验室环境中使用的 RFC 1918 地址。

PIX 6.x 配置

本文档使用此处所示的配置。

如果从 Cisco 设备中获得write terminal 命令的输出,则可使用命令输出解释程序(仅限注册用户)显示潜在问题和解决方法。

PIX 6.3 配置
PIX Version 6.3(3)

nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed






!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu intf2 1500


!--- These commands define an IP address for each interface.


ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0

arp timeout 14400


!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2
: end         
[OK]

!--- Output Suppressed

路由器 B 配置
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the PIX-facing Ethernet interface.

 ip address 10.1.2.1 255.255.255.0 

 no ip directed-broadcast

!
interface BRI1/0
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/1
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/2
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/3
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the PIX.

ip route 0.0.0.0 0.0.0.0 10.1.1.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

配置 PIX/ASA 7.x 及更高版本

注意: 非默认命令以粗体显示。

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable



!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2

: end

!--- Output Suppressed

注意:有关在 PIX/ASA 上配置 NAT 和 PAT 的详细信息,请参阅文档 PIX/ASA 7.x NAT 和 PAT 语句

有关在 PIX/ASA 上配置访问列表的详细信息,请参阅文档 PIX/ASA 7.x:使用 nat、global、static 和 access-list 命令进行端口重定向(转发)

验证

当前没有可用于此配置的验证过程。

故障排除

本部分提供的信息可用于对配置进行故障排除。

注意:有关如何排除 PIX/ASA 故障的详细信息,请参阅排除通过 PIX 和 ASA 的连接故障

故障排除命令

注意: 在发出 debug 命令之前,请参阅有关 debug 命令的重要信息

  • debug icmp trace - 显示来自主机的 ICMP 请求是否到达 PIX。要运行此调试,需要将 conduit permit icmp any any 命令添加到配置中。但是,完成调试之后请删除 conduit permit icmp any any 命令以避免安全风险。

建立 Cisco 技术支持案例时应收集的信息

遵循本文档中的故障排除步骤之后,如果您仍然需要帮助,并且希望建立 Cisco 技术支持案例,请确保包括此信息,以便进行 PIX 防火墙故障排除。
  • 问题说明和相关拓扑详细信息。
  • 建立案例前执行的故障排除。
  • 来自 show tech-support 命令的输出。
  • 使用 logging buffered debugging 命令运行之后的 show log 命令输出,或展示了问题的控制台捕获信息(如果可用)。
  • 尝试通过防火墙传输 ICMP 数据流时的 debug icmp trace 命令输出。
请以非压缩的纯文本格式 (.txt) 将收集的数据附加到请求中。您可以使用 TAC 服务请求工具仅限注册用户),通过上载信息来将信息附加到案例中。如果无法访问服务请求工具,可在邮件的主题行中注明案例号,然后将以附件形式将信息发送到 attach@cisco.com

相关的思科支持社区讨论

思科支持社区是您提问、解答问题、分享建议以及与工作伙伴协作的论坛。


相关信息


Document ID: 10138