セキュリティ : Cisco ASA 5500-X シリーズ次世代型ファイアウォール

ASA 8.3(x): 3 つの内部ネットワークとインターネットの接続の設定例

2016 年 1 月 16 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 12 月 2 日) | フィードバック


目次


概要

この資料は方法で情報を 3 つの内部ネットワークと併用するためのバージョン 8.3(1)が付いている Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)を設定する提供したものです。 話を簡単にするため、ルータでスタティック ルートを使用します。

トランスペアレント モードでセキュリティ アプライアンスを設定する方法の詳細は、『PIX/ASA: バージョン 8.2 および それ 以前が付いている Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)の同じ 設定のためのインターネット 設定例と 3 つの内部ネットワークを接続すること

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

この文書に記載されている情報はバージョン 8.3(1)が付いている Cisco 適応性があるセキュリティ アプライアンス モデル(ASA)に基づいています。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 対象のネットワークが実稼働中である場合には、どのような作業についても、その潜在的な影響について確実に理解しておく必要があります。

表記法

文書 の 表記法に関する詳細については Ciscoテクニカル情報 規定を参照して下さい。

設定

この項では、このドキュメントで説明する機能の設定に必要な情報を提供します。

注: このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

注: 10.1.1.0 ネットワーク上のホストのデフォルト ゲートウェイは RouterA をポイントしています。 RouterB には、RouterA をポイントするデフォルト ルートが追加されています。 ルータ A に ASA 内部インターフェイスにデフォルト ルートがそのポイントあります。

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113041-asa-3net-01.gif

注: この設定で使用している IP アドレス スキームは、インターネット上で正式にルーティング可能なものではありません。 これらは RFC 1918 アドレスであり、ラボ環境で使用されたものです。

ASA 8.3 の設定

このドキュメントでは、次の設定を使用します。

ご使用のシスコ デバイスの、write terminal コマンドの出力データがあれば、これを使用して今後予想される障害と修正を表示できます。今後予想される障害や修正の表示には、Output Interpreter がご利用になれます。

ルータ A の設定
RouterA#show running-config 
Building configuration...

Current configuration : 1151 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 25
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.2.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password ww
login
!
!
end

RouterA#

ルータ B の設定
RouterB#show running-config
Building configuration...

Current configuration : 1132 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterB
!
boot-start-marker
boot-end-marker
!
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef 
!
!
!
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.3 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.3.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.2
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
stopbits 1
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password cisco
login
!
!
end

RouterB# 

ASA 8.3 およびそれ以降 設定

注: デフォルト以外のコマンドは太字で示します。

ASA 8.3(1) の実行コンフィギュレーション
ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.225 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa831-k8.bin

ftp mode passive


!--- Output Suppressed





!--- Creates an object called OBJ_GENERIC_ALL.
!--- Any host IP not already matching another configured
!--- object will get PAT to the outside interface IP
!--- on the ASA (or 10.165.200.226) for internet bound traffic.


object network OBJ_GENERIC_ALL 
subnet 0.0.0.0 0.0.0.0  
nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface



!--- Output Suppressed




!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.226 1



!--- Define a route to the INTERNAL router with network 10.2.1.0.


route inside 10.2.1.0 255.255.255.0 10.1.1.2 1



!--- Define a route to the INTERNAL router with network 10.3.1.0.


route inside 10.3.1.0 255.255.255.0 10.1.1.3 1

: end

注: ASA 8.3 の NAT および PAT の設定に関する詳細については、NAT についての情報を参照して下さい。

PIX/ASA のアクセス リストを設定する方法に関する詳細については PIX/ASA 7.x を参照して下さい: nat、global、static および access-list コマンドを使用したポート リダイレクション(フォワーディング)』を参照してください。

確認

現在、この設定に使用できる確認手順はありません。

トラブルシューティング

ここでは、設定のトラブルシューティングに役立つ情報について説明します。

注: PIX/ASA を解決する方法に関する詳細については解決します PIX および ASA を通して接続を参照して下さい。

トラブルシューティングのためのコマンド

Output Interpreter Tool(OIT)(登録ユーザ専用)では、特定の show コマンドがサポートされています。 OIT を使用して、show コマンド出力の解析を表示できます。

注: debug コマンドを使用する前に、『debug コマンドの重要な情報』を参照してください。

  • debug icmp trace:ホストからの ICMP 要求が PIX に到達するかどうかを示します。 このデバッグを実行するには、access-list コマンドを設定に追加して、ICMP を許可する必要があります。

  • ロギングバッファ デバッグ—確立され、否定される PIX を通過するホストへの接続を表示します。か。 この情報は PIX ログ バッファに保存されており、show log コマンドを使用して表示できます。

ロギングの設定方法については、『PIX Syslog のセットアップ』を参照してください。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 113041