セキュリティ : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA:単一の内部ネットワークをインターネットと接続する設定例

2010 年 8 月 30 日 - ライター翻訳版
その他のバージョン: PDFpdf | 機械翻訳版 (2013 年 9 月 13 日) | 英語版 (2008 年 10 月 24 日) | フィードバック

対話式:このドキュメントでは、ご使用中のシスコ デバイスに応じた解析を行います。


目次

概要
はじめに
      前提条件
      使用するコンポーネント
      関連製品
      表記法
設定
      ネットワーク ダイアグラム
      PIX 6.x の設定
      PIX/ASA 7.x 以降の設定
確認
トラブルシューティング
関連するシスコ サポート コミュニティ ディスカッション
関連情報

概要

この設定例では、単一の内部ネットワーク上で使用するために Cisco セキュリティ アプライアンス(PIX/ASA)を設定する方法を示します。

PIX/ASA セキュリティ アプライアンス バージョン 7.x 以降と、Command Line Interface(CLI; コマンドライン インターフェイス)または Adaptive Security Device Manager(ASDM)5.x 以降でインターネット(または外部ネットワーク)に接続する複数の内部ネットワークの詳細は、『3 つの内部ネットワークでの PIX/ASA 7.x の設定例』を参照してください。



はじめに

前提条件

このドキュメントに関する特別な要件はありません。



使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • Cisco PIX Firewall ソフトウェア リリース 6.x 以降

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。対象のネットワークが実稼動中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。



関連製品

この設定は、バージョン 7.x 以降で稼動する Cisco 5500 シリーズ適応型セキュリティ アプライアンスでも使用できます。



表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。



設定

このセクションでは、このドキュメントで説明する機能の設定に必要な情報を提供します。

注:このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。



ネットワーク ダイアグラム

このドキュメントでは次の図に示すネットワーク設定を使用しています。

19a_update.gif

:この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。これらはラボ環境で使用された RFC 1918 leavingcisco.com のアドレスです。



PIX 6.x の設定

このドキュメントでは次に示す設定を使用しています。

使用中のシスコ製デバイスでの write terminal コマンドの出力データがあれば、を使用して潜在的な問題と修正を表示できます。を使用するためには、登録ユーザであり、ログインしていて、さらに JavaScript を有効にしている必要があります。

PIX 6.3 の設定

PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- 出力を省略。




!--- ロギングをイネーブルにします。


logging on


!--- 出力を省略。




!--- すべてのインターフェイスはデフォルトでシャットダウンされます。


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- 出力を省略。




!--- 内部ホストがインターネットに発信するときに使用する Network 
!--- Address Translation(NAT; ネットワーク アドレス変換)プールを定義します。



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- すべての内部ホストが、以前に指定した NAT または PAT  
!--- アドレスを使用することを許可します。



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- ISP ルータへのデフォルト ルートを定義します。


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- 出力を省略。


: end         
[OK]

ルータの設定

Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end



PIX/ASA 7.x 以降の設定

注:デフォルト以外のコマンドは太字で表示されます。

PIX/ASA

pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- 出力を省略。




!--- ロギングをイネーブルにします。


logging enable




!--- 内部ホストがインターネットに発信するときに使用する Network 
!--- Address Translation(NAT; ネットワーク アドレス変換)プールを定義します。



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- すべての内部ホストが、以前に指定した NAT または PAT  
!--- アドレスを使用することを許可します。


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- ISP ルータへのデフォルト ルートを定義します。


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- 出力を省略。


: end

注:PIX/ASA における NAT および PAT の設定についての詳細は、『PIX/ASA 7.x の NAT と PAT の設定例』を参照してください。

PIX/ASA のアクセス リスト設定の詳細は、『PIX/ASA 7.x:nat、global、static および access-list コマンドを使用したポート リダイレクション(フォワーディング)』を参照してください。



確認

現在、この設定に使用できる確認手順はありません。



トラブルシューティング

このセクションでは、設定のトラブルシューティングに役立つ情報を紹介します。

注:PIX/ASA のトラブルシューティング方法の詳細は、『PIX および ASA を経由した接続のトラブルシューティング』を参照してください。

特定の show コマンドは、アウトプットインタープリタ登録ユーザ専用)でサポートされています。このツールを使用すると、show コマンドの出力を分析できます。一部ツールについては、ゲスト登録のお客様にはアクセスできない場合がありますことをご了承ください。

注:debug コマンドを発行する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの ICMP 要求が PIX に到達するかどうかを示します。このデバッグを実行するには、設定に conduit permit icmp any any コマンドを追加する必要があります。ただし、デバッグを終了したときには、セキュリティ リスクを回避するために conduit permit icmp any any コマンドを削除します。




関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報




Document ID: 10136