Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Conecte la sola red interna con el ejemplo de configuración de Internet

24 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (23 Abril 2015) | Comentarios


Interactivo: Este documento ofrece un análisis personalizado de su dispositivo Cisco.


Contenido


Introducción

Esta configuración de muestra demuestra cómo configurar los dispositivos del Cisco Security (PIX/ASA) para el uso en una sola red interna.

Para más información sobre la versión 7.x y posterior del dispositivo de seguridad del PIX/ASA con las redes internas múltiples que conectan con Internet (o una red externa) con el comando line interface(cli) o el Administrador de dispositivos de seguridad adaptante (ASDM) 5.x y posterior, refiera al PIX/ASA 7.x y posterior: Conexión de las redes internas múltiples con el ejemplo de configuración de Internet.

Refiera a ASA 8.3(x): Conecte una sola red interna con Internet para más información sobre la configuración idéntica con el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3 y posterior.

Antes de comenzar

prerrequisitos

No hay requisitos previos específicos para este documento.

Componentes Utilizados

La información que contiene este documento se basa en las versiones de software y hardware indicadas a continuación.

  • Versión de Software Cisco PIX Firewall 6.x y posterior

La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad adaptante de las Cisco 5500 Series, que funciona con la versión 7.x y posterior.

Convenciones

Para más información sobre las convenciones sobre documentos, refiera a los convenios de los consejos técnicos de Cisco.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

Este documento utiliza la instalación de red que se muestra en el siguiente diagrama.

/image/gif/paws/10136/19a_update.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son los direccionamientosleavingcisco.com del RFC 1918, que se han utilizado en un ambiente de laboratorio.

Configuración PIX 6.x

Este documento usa las configuraciones detalladas a continuación.

Si usted tiene la salida de un comando write terminal de su dispositivo de Cisco, usted puede utilizar para visualizar los problemas potenciales y los arreglos. Para utilizar , usted debe ser un cliente registrado, se abra una sesión, y hace el Javascript habilitar.

Configuración PIX 6.3
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

Configuración del router
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

PIX/ASA 7.x de la configuración y posterior

Nota: Los comandos del nondefault se muestran en intrépido.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

NOTA: Para más información sobre la configuración del NAT y de la PALMADITA en el PIX/ASA, refiera a las declaraciones del PIX/ASA 7.x NAT y de la PALMADITA.

Para más información sobre la configuración de las Listas de acceso en el PIX/ASA, refiera toPIX/ASA 7.x: Redirección de puerto (expedición) con nacional, global, los parásitos atmosféricos y los comandos access-list.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

NOTA: Para más información sobre cómo resolver problemas el PIX/ASA, refiera a las conexiones del Troubleshooting con el PIX y el ASA.

La herramienta Output Interpreter (sólo para clientes registrados) permite utilizar algunos comandos “show” y ver un análisis del resultado de estos comandos.

Nota: Antes de ejecutar un comando debug, consulte Información Importante sobre Comandos Debug.

  • debug icmp trace – Muestra si las solicitudes ICMP desde los hosts alcanzan al PIX. Para ejecutar este comando de depuración, necesita agregar el comando conduit permit icmp any any a su configuración. Sin embargo, para evitar riesgos de seguridad, elimine el comando conduit permit icmp any any cuando haya terminado con la depuración.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 10136