クラウドおよびシステム管理 : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA: 2 つの内部ネットワークとインターネットの接続の設定例

2016 年 10 月 28 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


対話式: この文書では、個別のユーザに合わせたシスコ デバイスの分析を行います。


目次


概要

この設定 例は 2 つの内部ネットワークと併用するための Ciscoセキュリティ アプライアンス(PIX/ASA)を設定する方法を示します。

ASA 8.3(x) を参照して下さい: バージョン 8.3 および それ 以降が付いている Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)との同一の構成に関する詳細についてはインターネット 設定例と 2 つの内部ネットワークを接続して下さい

前提条件

要件

PIXファイアウォールの後ろの第 2 内部ネットワークを追加するとき、次のポイントに留意して下さい。

  • PIX はパケットをルーティングできません。

  • PIX ではセカンダリ アドレッシングがサポートされない。

  • PIX の後ろでルータが存在するネットワークと新たに追加されたネットワーク間のルーティングを実現させるのに使用されなければなりません。

  • すべてのホストのデフォルト ゲートウェイは内部ルータを設定 された指すことであるはずです。

  • PIX を指す内部ルータにデフォルト ルートを追加して下さい。

  • 内部ルータの Address Resolution Protocol(ARP)キャッシュをクリアする必要があります。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX Firewall ソフトウェア リリース 6.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

この設定は、バージョン 7.x 以降で稼動する Cisco 5500 シリーズ適応型セキュリティ アプライアンスでも使用できます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次の図で示されるネットワーク構成を使用しています。

/image/gif/paws/10138/19b-1.gif

: この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらはラボ環境で使用された RFC 1918 のアドレスです。

PIX 6.x の設定

このドキュメントでは、次に示す設定を使用しています。

ご使用のシスコ デバイスの write terminal コマンドの出力データがある場合は、アウトプット インタープリタ登録ユーザ専用)を使用して、今後予想される障害や修正を表示できます。

PIX 6.3 の設定
PIX Version 6.3(3)

nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed






!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu intf2 1500


!--- These commands define an IP address for each interface.


ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0

arp timeout 14400


!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2
: end         
[OK]

!--- Output Suppressed

ルータ B の設定
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the PIX-facing Ethernet interface.

 ip address 10.1.2.1 255.255.255.0 

 no ip directed-broadcast

!
interface BRI1/0
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/1
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/2
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/3
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the PIX.

ip route 0.0.0.0 0.0.0.0 10.1.1.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

PIX/ASA 7.x 以降の設定

デフォルト以外のコマンドは、太字で示しています。

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable



!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2

: end

!--- Output Suppressed

: PIX/ASA の NAT および PAT の設定に関する詳細については資料 PIX/ASA 7.x NAT および PAT の設定例を参照して下さい

PIX/ASA の Acess リストの設定に関する詳細については資料 PIX/ASA 7.x を参照して下さい: nat、global、static および access-list コマンドを使用したポート リダイレクション(フォワーディング)

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

: PIX/ASA のトラブルシューティング方法の詳細は、「PIX および ASA を介した接続のトラブルシューティング」を参照してください。

トラブルシューティングのためのコマンド

: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの ICMP 要求が PIX に到達するかどうかを示します。 このデバッグを実行するには、設定に conduit permit icmp any any コマンドを追加する必要があります。 ただしデバッグし終えたら、セキュリティリスクを逃れる conduit permit icmp any any コマンドを削除して下さい。

TAC のサービス リクエストをオープンする場合に収集する情報

この資料のトラブルシューティング の 手順に従った、Cisco テクニカル サポートとのケースをオープンしたいと思う後更にアシスタンスを必要としたら PIXファイアウォールのトラブルシューティングためのこの情報を含むこと確実でであって下さい。
  • 問題の説明と関連するトポロジの詳細
  • ケースをオープンする前に実行したトラブルシューティング
  • show tech-support コマンドの出力
  • 問題を示す logging buffered debugging コマンドとの実行の後の show log コマンドからの出力、かコンソールキャプチャ(もし可能であれば)。
  • ファイアウォールによって ICMP トラフィックを通過させるように試みるように debug icmp trace コマンドの出力。
収集したデータは、圧縮しないプレーン テキスト形式(.txt)でサービス リクエストに添付してください。 サービスリクエストに情報を添付するには、TAC Service Request Tool登録ユーザ専用)を使用してアップロードします。 Service Request Tool にアクセスできない場合メッセージの件名にケース番号を記入して attach@cisco.com への電子メールの添付ファイルの情報を送信できます。


関連情報


Document ID: 10138