LAN スイッチング : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA: 単一の内部ネットワークをインターネットと接続する設定例

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2010 年 8 月 30 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


対話式: この文書では、個別のユーザに合わせたシスコ デバイスの分析を行います。


目次


概要

この設定例では、単一の内部ネットワーク上で使用するために Cisco セキュリティ アプライアンス(PIX/ASA)を設定する方法を示します。

PIX/ASA セキュリティ アプライアンス バージョン 7.x 以降と、Command Line Interface(CLI; コマンドライン インターフェイス)または Adaptive Security Device Manager(ASDM)5.x 以降でインターネット(または外部ネットワーク)に接続する複数の内部ネットワークの詳細は、『 3 つの内部ネットワークでの PIX/ASA 7.x の設定例』を参照してください。

ASA 8.3(x) を参照して下さい: バージョン 8.3 および それ 以降と Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)と同一の構成に関する詳細についてはインターネットに単一 内部ネットワークを接続して下さい

はじめに

前提条件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX Firewall ソフトウェア リリース 6.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

関連製品

この設定は、バージョン 7.x 以降で稼動する Cisco 5500 シリーズ適応型セキュリティ アプライアンスでも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは次の図に示すネットワーク構成を使用しています。

/image/gif/paws/10136/19a_update.gif

: この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用された RFC 1918 のアドレスです。leavingcisco.com

PIX 6.x の設定

このドキュメントでは次に示す設定を使用しています。

Ciscoデバイスからの write terminal コマンドの出力がある場合、潜在的な問題 および修正を表示するのに使用できます。 使用するには、登録ユーザとしてログインし、JavaScript を有効にしている必要があります。

PIX 6.3 の設定
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

ルータの設定
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

PIX/ASA 7.x 以降の設定

デフォルト以外のコマンドは、太字で示しています。

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

: PIX/ASA における NAT および PAT の設定についての詳細は、『PIX/ASA 7.x の NAT と PAT の設定例』を参照してください。

PIX/ASA のアクセス リスト設定の詳細は、『PIX/ASA 7.x: nat、global、static および access-list の各コマンドを使用したポート リダイレクション(フォワーディング)」を参照してください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

: PIX/ASA のトラブルシューティング方法の詳細は、『PIX および ASA を経由した接続のトラブルシューティング』を参照してください。

特定の show コマンドは、Output Interpreter Tool登録ユーザ専用)によってサポートされています。このツールを使用すると、show コマンド出力の分析を表示できます。

debug コマンドを使用する前に、『debug コマンドに関する重要な情報』を参照してください。

  • debug icmp trace - ホストからの ICMP 要求が PIX に到達するかどうかが示されます。 このデバッグを実行するには、設定に conduit permit icmp any any コマンドを追加する必要があります。 ただし、デバッグを終了したときには、セキュリティ リスクを回避するために conduit permit icmp any any コマンドを削除します。


関連情報


Document ID: 10136