セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.3(x): 2 つの内部ネットワークとインターネットの接続の設定例

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この設定例では、2 つの内部ネットワークで使用するためにバージョン 8.3(1) の Cisco 適応型セキュリティ アプライアンス(ASA)を設定する方法を示します。

トランスペアレント モードでセキュリティ アプライアンスを設定する方法の詳細は、『PIX/ASA: バージョン 8.2 および それ 以前が付いている Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の同じ 設定のためのインターネット 設定例と 2 つの内部ネットワークを接続すること

前提条件

要件

ASA ファイアウォールの後ろの第 2 内部ネットワークを追加するとき、これらを指します心で保存して下さい:

  • ASA はパケットをルーティングできません。

  • ASA はセカンダリアドレッシングをサポートしません。

  • ASA の後ろでルータが存在するネットワークと新たに追加されたネットワーク間のルーティングを実現させるのに使用する必要があります。

  • すべてのホストのデフォルト ゲートウェイは内部ルータを指す必要があります。

  • ASA に内部ルータにデフォルト ルートをそのポイント追加して下さい。

  • 内部ルータのアドレス解決プロトコル (ARP) キャッシュを消去することを忘れないようにして下さい。

使用するコンポーネント

このドキュメントの情報は、次のソフトウェアとハードウェアのバージョンに基づくものです。

  • バージョン 8.3(1) の Cisco 適応型セキュリティ アプライアンス(ASA)

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

ネットワーク構成図

このドキュメントでは、次の図で示されるネットワーク構成を使用しています。

/image/gif/paws/112996/asa-int-01.gif

注: この設定で使用している IP アドレッシング方式は、インターネット上で正式にルーティング可能なものではありません。 これらは、ラボ環境で使用された RFC 1918 のアドレスです。leavingcisco.com

ASA 8.3 の設定

このドキュメントでは、次に示す設定を使用しています。

ご使用のシスコ デバイスの、write terminal コマンドの出力データがあれば、これを使用して今後予想される障害と修正を表示できます。今後予想される障害や修正の表示には、Output Interpreter がご利用になれます。

ASA 8.3(1) の実行コンフィギュレーション
ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- Configure the outside interface.

!
interface GigabitEthernet0/0
 nameif outside
 security-level 0
 ip address 10.1.5.1 255.255.255.0

!--- Configure the inside interface.

!
interface GigabitEthernet0/1
 nameif inside
 security-level 100
 ip address 192.168.0.1 255.255.255.0 
!
interface GigabitEthernet0/2
 shutdown
 no nameif
 no security-level
 no ip address
!
interface GigabitEthernet0/3
 shutdown
 no nameif
 no security-level
 no ip address
!
interface Management0/0
 shutdown
 no nameif
 no security-level
 no ip address
 management-only
!
boot system disk0:/asa831-k8.bin

ftp mode passive


!--- Creates an object called OBJ_GENERIC_ALL.
!--- Any host IP not already matching another configured
!--- object will get PAT to the outside interface IP
!--- on the ASA (or 10.1.5.1), for internet bound traffic.


object network OBJ_GENERIC_ALL 
 subnet 0.0.0.0 0.0.0.0


nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface

route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 10.1.5.2
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
 match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
 parameters
  message-length maximum client auto
  message-length maximum 512
policy-map global_policy
 class inspection_default
  inspect dns preset_dns_map 
  inspect ftp 
  inspect h323 h225 
  inspect h323 ras 
  inspect rsh 
  inspect rtsp 
  inspect esmtp 
  inspect sqlnet 
  inspect skinny  
  inspect sunrpc 
  inspect xdmcp 
  inspect sip  
  inspect netbios 
  inspect tftp 
  inspect ip-options 
!
service-policy global_policy global
prompt hostname context 
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

ルータ B の設定
Building configuration...

Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 192.168.1.1 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the ASA-facing Ethernet interface.

 ip address 192.168.0.254 255.255.255.0 

 no ip directed-broadcast

ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the ASA.

ip route 0.0.0.0 0.0.0.0 192.168.0.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

現在のところ、この設定に関する特定のトラブルシューティング情報はありません。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 112996