Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Подключите одиночную внутреннюю сеть с интернет-примером конфигурации

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (22 августа 2015) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

Этот пример конфигурации демонстрирует настройку устройств защиты Cisco (PIX/ASA) для использования с одиночной внутренней сетью.

За дополнительной информацией о конфигурации устройств защиты PIX/ASA версии 7.x с несколькими внутренними сетями для подключения к Интернету (или внешней сети) с использованием интерфейса командной строки (CLI) или Менеджера устройств адаптивной защиты (ASDM) версии 5.x и выше обратитесь к документу PIX/ASA 7.x и последующие версии: Пример конфигурации подключения нескольких внутренних сетей к Интернету.

См. ASA 8.3 (x): Подключите Одиночную внутреннюю сеть с Интернетом для получения дополнительной информации об одинаковой конфигурации с устройством адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

Перед началом работы

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения в этом документе основаны на версиях оборудования и программного обеспечения, указанных ниже.

  • ПО межсетевого экрана Cisco PIX версии 6.x и более поздних

Сведения, содержащиеся в данном документе, были получены с устройств в специальной лабораторной среде. Все устройства, описанные в данном документе, были запущены с конфигурацией по умолчанию. При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Родственные продукты

Эту конфигурацию также можно использовать для устройства адаптивной защиты Cisco серии 5500, на котором запущена версия 7.x или выше.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Поиск дополнительной информации о командах в данном документе можно выполнить с помощью средства "Command Lookup" (Поиск команд) (только для зарегистрированных клиентов).

Схема сети

В данном документе используется сетевая установка, показанная на следующей схеме.

/image/gif/paws/10136/19a_update.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, используемые в лабораторной среде. leavingcisco.com

Настройка PIX 6.x

В данном документе используются следующие конфигурации.

Если есть выходные данные команды write terminal от устройства Cisco, то можно использовать для получения наглядной информации о возможных проблемах и способах их устранения. Для работы с необходимо быть зарегистрированным пользователем, войти в систему и включить поддержку JavaScript.

Настройка PIX 6.3
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

Настройка маршрутизатора
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Настройка PIX/ASA 7.x и последующих версий

Примечание: Команды не по умолчанию показаны полужирным шрифтом.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

Примечание: Для получения дополнительной информации о конфигурации NAT и PAT на PIX/ASA, обратитесь к PIX/ASA 7.x Операторы PAT и NAT.

Дополнительную информацию о настройке списков контроля доступа для PIX/ASA см. в документе PIX/ASA 7.x: Перенаправление портов (переадресация) с помощью команд nat, global, static и access-list.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Примечание: Для получения дополнительной информации о том, как устранить неполадки PIX/ASA, обратитесь для Устранения проблем Соединений через PIX и ASA.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

  • debug icmp trace— данная команда показывает, достигают ли устройства PIX запросы ICMP, отправляемые хостами. Для запуска этой процедуры отладки добавьте в конфигурацию команду conduit permit icmp any any. После завершения отладки удалите команду conduit permit icmp any any, чтобы избежать возможной угрозы безопасности.


Дополнительные сведения


Document ID: 10136