Seguridad : Dispositivos de seguridad Cisco PIX de la serie 500

PIX/ASA: Conexión de dos redes internas con el ejemplo de configuración de Internet

25 Agosto 2015 - Traducción Automática
Otras Versiones: PDFpdf | Inglés (22 Abril 2015) | Comentarios


Interactivo: Este documento ofrece un análisis personalizado de su dispositivo Cisco.


Contenido


Introducción

Esta configuración de muestra demuestra cómo configurar los dispositivos del Cisco Security (PIX/ASA) para el uso con dos redes internas.

Refiera a ASA 8.3(x): Conecte dos redes internas con el ejemplo de configuración de Internet para más información sobre la configuración idéntica con el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3 y posterior.

prerrequisitos

Requisitos

Cuando usted agrega una segunda red interna detrás de un firewall PIX, tenga presente las puntas siguientes.

  • El PIX no puede rutear ninguna paquetes.

  • El PIX no soporta el direccionamiento secundario.

  • Un router tiene que ser utilizado detrás del PIX para alcanzar la encaminamiento entre la red existente y la red nuevamente agregada.

  • El default gateway de todos los hosts se debe fijar el señalar al router interno.

  • Agregue una ruta predeterminado en el router interno que señala al PIX.

  • Recuerde borrar el caché del Address Resolution Protocol (ARP) en el router interno.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

  • Versión de Software Cisco PIX Firewall 6.x y posterior

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener cualquier comando.

Productos Relacionados

Esta configuración se puede también utilizar con el dispositivo de seguridad adaptante de las Cisco 5500 Series, que funciona con la versión 7.x y posterior.

Convenciones

Para obtener más información sobre las convenciones del documento, consulte las Convenciones de Consejos Técnicos de Cisco.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).

Diagrama de la red

Este documento utiliza la configuración de red que se muestra en el siguiente diagrama.

/image/gif/paws/10138/19b-1.gif

Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son los direccionamientos del RFC 1918, que se han utilizado en un ambiente de laboratorio.

Configuración PIX 6.x

Este documento usa las configuraciones detalladas aquí.

Si usted tiene la salida de un comando write terminal de su dispositivo de Cisco, usted puede utilizar el Output Interpreter (clientes registrados solamente) para visualizar los problemas potenciales y los arreglos.

Configuración PIX 6.3
PIX Version 6.3(3)

nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed






!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu intf2 1500


!--- These commands define an IP address for each interface.


ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0

arp timeout 14400


!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2
: end         
[OK]

!--- Output Suppressed

Configuración del Router B
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the PIX-facing Ethernet interface.

 ip address 10.1.2.1 255.255.255.0 

 no ip directed-broadcast

!
interface BRI1/0
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/1
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/2
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/3
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the PIX.

ip route 0.0.0.0 0.0.0.0 10.1.1.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

PIX/ASA 7.x de la configuración y posterior

Nota: Los comandos del nondefault se muestran en intrépido.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable



!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2

: end

!--- Output Suppressed

NOTA: Para más información sobre configurar el NAT y la PALMADITA en el PIX/ASA refiera las declaraciones del PIX/ASA 7.x NAT y de la PALMADITA del documento

Para más información sobre configurar las listas de Acess en el PIX/ASA refiera el PIX/ASA 7.x del documento: Vire Redirection(Forwarding) hacia el lado de babor con nacional, global, los parásitos atmosféricos y los comandos access-list

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshooting

En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.

NOTA: Para más información sobre cómo resolver problemas el PIX/ASA, refiera a las conexiones del Troubleshooting con el PIX y el ASA.

Comandos para resolución de problemas

Nota: Antes de ejecutar un comando de depuración, consulte Información importante sobre comandos de depuración.

  • debug icmp trace – Muestra si las solicitudes ICMP desde los hosts alcanzan al PIX. Para ejecutar este comando de depuración, necesita agregar el comando conduit permit icmp any any a su configuración. Sin embargo, cuando usted ha acabado hacer el debug de, quite el comando conduit permit icmp any any de evitar los riesgos de seguridad.

Información para recopilar si abre un Caso de soporte técnico de Cisco

Si usted todavía necesita la ayuda después de que usted siga los pasos de Troubleshooting en este documento y quiera abrir un caso con el Soporte técnico de Cisco, esté seguro de incluir esta información para localizar averías su firewall PIX.
  • Descripción de problemas y detalles relevantes de la topología.
  • Resolución de problemas realizada antes de abrir el caso
  • Salida del comando showtech-support.
  • Salida del comando show log después de ejecutarse con el comando logging buffered debugging, o capturas de consola que demuestran el problema (si está disponible).
  • Salida del comando debug icmp trace como usted intenta pasar el tráfico ICMP con el Firewall.
Adjunte los datos recopilados para su caso en un texto sin formato (.txt), sin compactar. Puede adjuntar información a su caso transfiriéndola mediante Herramienta de Solicitud de Servicio TAC (sólo clientes registrados). Si usted no puede acceder la herramienta de la solicitud de servicio, usted puede enviar la información en un elemento adjunto de correo electrónico a attach@cisco.com con su número de caso en los asuntos de su mensaje.

Discusiones relacionadas de la comunidad de soporte de Cisco

La Comunidad de Soporte de Cisco es un foro donde usted puede preguntar y responder, ofrecer sugerencias y colaborar con colegas.


Información Relacionada


Document ID: 10138