スイッチ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

3 つの内部ネットワークでの Cisco Secure PIX Firewall の設定ル

2004 年 8 月 17 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 8 月 21 日) | 英語版 (2008 年 10 月 24 日) | フィードバック

目次

概要
前提条件
      要件
      使用するコンポーネント
      表記法
設定
      ネットワーク ダイアグラム
      設定
検証
トラブルシューティング
      トラブルシューティングのためのコマンド
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定例は、3 つの内部ネットワークでの PIX の設定方法を示しています。単純化のために、ルータではスタティック ルートを使用しています。

前提条件

要件

この文書に関する特別な要件はありません。

使用するコンポーネント

この文書の情報は、次のソフトウェアとハードウェアのバージョンに基づいています。

  • PIX ソフトウェア バージョン 6.3(3) が稼動する PIX 515

  • Cisco IOS(R) ソフトウェア リリース 12.3(7)T が稼動する Cisco 2691 ルータ

この文書の情報は、特定のラボ環境にあるデバイスに基づいて作成されています。この文書内で使用されているデバイスはすべて、クリアな状態(デフォルト)から設定作業を始めています。対象のネットワークが実稼動中である場合には、すべてのコマンドによる潜在的な影響について確実に理解しておく必要があります。

表記法

文書表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、この文書で説明する機能を設定するための情報を提供します。

注:この文書で使用されているコマンドの詳細を調べるには、Command Lookup Tool を使用してください(登録ユーザのみ)。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

ネットワーク ダイアグラム

この文書では、次の図に示すネットワーク設定を使用します。

注:10.1.1.0 ネットワーク上のホストのデフォルト ゲートウェイは RouterA をポイントしています。RouterB には、RouterA をポイントするデフォルト ルートが追加されています。RouterA には、PIX の内側のインターフェイスをポイントするデフォルト ルートが設定されています。

19c.gif

設定

この文書で使用する設定を次に示します。

ご使用のシスコ製デバイスからの write terminal コマンドによる出力データがあれば、アウトプットインタープリタ登録ユーザ専用)を使用して、今後予想される障害や修正を表示できます。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

RouterA の設定

RouterA#show running-config 
  Building configuration...
  Current configuration : 1151 bytes
  !
  version 12.3
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname RouterA
  !
  boot-start-marker
  boot-end-marker
  !
  enable password cisco
  !
  memory-size iomem 25
  no network-clock-participate slot 1 
  no network-clock-participate wic 0 
  no network-clock-participate wic 1 
  no network-clock-participate wic 2 
  no network-clock-participate aim 0 
  no network-clock-participate aim 1 
  no aaa new-model
  ip subnet-zero
  ip cef
  !
  !
  !
  !
  ip audit po max-events 100
  no ftp-server write-enable
  !
  !
  !
  !
  ! 
  no crypto isakmp enable
  !
  !
  !
  interface FastEthernet0/0
  ip address 10.1.1.2 255.255.255.0
  duplex auto
  speed auto
  !
  interface FastEthernet0/1
  ip address 10.2.1.1 255.255.255.0
  duplex auto
  speed auto
  !
  interface IDS-Sensor1/0
  no ip address
  shutdown
  hold-queue 60 out
  !
  ip classless
  ip route 0.0.0.0 0.0.0.0 10.1.1.1
  ip route 10.3.1.0 255.255.255.0 10.1.1.3
  no ip http server
  no ip http secure-server
  !
  !
  !
  !
  !
  control-plane
  !
  !
  !
  line con 0
  line 33
  no activation-character
  no exec
  transport preferred none
  transport input all
  transport output all
  line aux 0
  line vty 0 4
  password ww
  login
  !
  !
  end
  RouterA#

RouterB の設定

RouterB#show running-config
  Building configuration...
  Current configuration : 1132 bytes
  !
  version 12.3
  no service pad
  service timestamps debug uptime
  service timestamps log uptime
  no service password-encryption
  !
  hostname RouterB
  !
  boot-start-marker
  boot-end-marker
  !
  !
  no network-clock-participate slot 1 
  no network-clock-participate wic 0 
  no network-clock-participate wic 1 
  no network-clock-participate wic 2 
  no network-clock-participate aim 0 
  no network-clock-participate aim 1 
  no aaa new-model
  ip subnet-zero
  ip cef 
  !
  !
  !
  !
  ip audit po max-events 100
  no ip domain lookup
  no ftp-server write-enable
  !
  !
  !
  !
  ! 
  no crypto isakmp enable
  !
  !
  !
  interface FastEthernet0/0
  ip address 10.1.1.3 255.255.255.0
  duplex auto
  speed auto
  no cdp enable
  !
  interface FastEthernet0/1
  ip address 10.3.1.1 255.255.255.0
  duplex auto
  speed auto
  !
  interface IDS-Sensor1/0
  no ip address
  shutdown
  hold-queue 60 out
  !
  ip classless
  ip route 0.0.0.0 0.0.0.0 10.1.1.2
  no ip http server
  no ip http secure-server
  !
  !
  !
  !
  !
  control-plane
  !
  !
  !
  line con 0
  stopbits 1
  line 33
  no activation-character
  no exec
  transport preferred none
  transport input all
  transport output all
  line aux 0
  line vty 0 4
  password cisco
  login
  !
  !
  end
  RouterB# 

PIX ファイアウォールの設定

pixfirewall(config)# write terminal
  Building configuration...
  : Saved
  :
  PIX Version 6.3(3)
  interface ethernet0 auto
  interface ethernet1 auto
  interface ethernet2 auto shutdown
  nameif ethernet0 outside security0
  nameif ethernet1 inside security100
  nameif ethernet2 pix/intf2 security10
  enable password 8Ry2YjIyt7RRXU24 encrypted
  passwd 2KFQnbNIdI.2KYOU encrypted
  hostname pixfirewall
  fixup protocol dns maximum-length 512
  fixup protocol ftp 21
  fixup protocol h323 h225 1720
  fixup protocol h323 ras 1718-1719
  fixup protocol http 80
  fixup protocol rsh 514
  fixup protocol rtsp 554
  fixup protocol sip 5060
  fixup protocol sip udp 5060
  fixup protocol skinny 2000
  fixup protocol smtp 25
  fixup protocol sqlnet 1521
  fixup protocol tftp 69
  names
  pager lines 24
  logging on
  mtu outside 1500
  mtu inside 1500
  mtu pix/intf2 1500
  ip address outside 209.165.200.225 255.255.255.224
  ip address inside 10.1.1.1 255.255.255.0
  ip address pix/intf2 127.0.0.1 255.255.255.255
  ip audit info action alarm
  ip audit attack action alarm
  no failover
  failover timeout 0:00:00
  failover poll 15
  no failover ip address outside
  no failover ip address inside
  no failover ip address pix/intf2
  pdm history enable
  arp timeout 14400
  global (outside) 1 209.165.200.228-209.165.200.254 netmask 255.255.255.224
  global (outside) 1 209.165.200.227
  nat (inside) 1 10.0.0.0 255.0.0.0 0 0
  route outside 0.0.0.0 0.0.0.0 209.165.200.226 1
  route inside 10.2.1.0 255.255.255.0 10.1.1.2 1
  route inside 10.3.1.0 255.255.255.0 10.1.1.3 1
  timeout xlate 3:00:00
  timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 rpc 0:10:00 h225 1:00:00
  timeout h323 0:05:00 mgcp 0:05:00 sip 0:30:00 sip_media 0:02:00
  timeout uauth 0:05:00 absolute
  aaa-server TACACS+ protocol tacacs+ 
  aaa-server RADIUS protocol radius 
  aaa-server LOCAL protocol local 
  no snmp-server location
  no snmp-server contact
  snmp-server community public
  no snmp-server enable traps
  floodguard enable
  telnet timeout 5
  ssh timeout 5
  console timeout 0
  terminal width 80
  Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e
  : end
  [OK]
  pixfirewall(config)# enable pass csico
  pixfirewall(config)# pass cisco
  pixfirewall(config)# write memory
  Building configuration...
  Cryptochecksum: 104bbbc5 b6a2727c f48cca46 ef61d886 
  [OK]

検証

現在のところ、この設定を検証する手順はありません。

トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を説明します。

トラブルシューティングのためのコマンド

一部の show コマンドは、show コマンド出力の分析を表示するアウトプットインタープリタ登録ユーザ専用)でサポートされています。
一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことを、ご了承ください。

注:debug コマンドを使用する前に、『デバッグ コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの ICMP 要求が PIX に到達するかどうかが示されます。このデバッグを実行するには、access-list コマンドを設定に追加して、ICMP を許可する必要があります。

  • logging buffer debugging:PIX を通過する接続がホストと確立されたか、ホストから拒否されたかが表示されます。  この情報は PIX ログ バッファに保存されており、show log コマンドを使用して表示できます。

ロギングのセットアップに関する詳細は、『PIX Syslog のセットアップ』を参照してください。


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 10137