Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Подключите одиночную внутреннюю сеть с интернет-Примером конфигурации

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (10 февраля 2011) | Английский (22 августа 2015) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

Этот пример конфигурации демонстрирует настройку устройств защиты Cisco (PIX/ASA) для использования с одиночной внутренней сетью.

За дополнительной информацией о конфигурации устройств защиты PIX/ASA версии 7.x с несколькими внутренними сетями для подключения к Интернету (или внешней сети) с использованием интерфейса командной строки (CLI) или Менеджера устройств адаптивной защиты (ASDM) версии 5.x и выше обратитесь к документу PIX/ASA 7.x и последующие версии: Пример конфигурации подключения нескольких внутренних сетей к Интернет.

Обратитесь к ASA 8.3 (x): Подключите Одиночную внутреннюю сеть с Интернетом для получения дополнительной информации об одинаковой конфигурации с устройством адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

Перед началом работы

Предварительные условия

Для данного документа отсутствуют предварительные условия.

Используемые компоненты

Сведения, содержащиеся в данном документе, относятся к следующим версиям программного и аппаратного обеспечения.

  • ПО межсетевого экрана Cisco PIX версии 6.x и более поздних

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Родственные продукты

Эту конфигурацию также можно использовать для устройства адаптивной защиты Cisco серии 5500, на котором запущена версия 7.x или выше.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В данном документе используется сеть, изображенная на следующей схеме.

/image/gif/paws/10136/19a_update.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918 , которые были использованы в лабораторной среде. leavingcisco.com

Настройка PIX 6.x

В данном документе используются следующие конфигурации.

Если есть выходные данные команды write terminal от устройства Cisco, то можно использовать для получения наглядной информации о возможных проблемах и способах их устранения. Для работы с необходимо быть зарегистрированным пользователем, войти в систему и включить поддержку JavaScript.

Настройка PIX 6.3
PIX Version 6.3(3)
nameif ethernet0 outside security0
nameif ethernet1 inside security100
nameif ethernet2 intf2 security10
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed




!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 100full
mtu outside 1500
mtu inside 1500
mtu intf2 1500
ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0
ip address intf2 127.0.0.1 255.255.255.255
no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0
failover ip address intf2 0.0.0.0
arp timeout 14400



!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224




!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.



nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end         
[OK]

Конфигурация маршрутизатора
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname R3640_out
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/1
 ip address 10.165.200.225 255.255.255.224
 no ip directed-broadcast

!
ip classless
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Настройка PIX/ASA 7.x и последующих версий

Примечание: Команды не по умолчанию показаны полужирным шрифтом.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.0
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.



global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.2244



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 0.0.0.0 0.0.0.0 0 0



!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Output Suppressed


: end

Примечание: Для получения дополнительной информации о конфигурации NAT и PAT на PIX/ASA, обратитесь к PIX/ASA 7.x Операторы PAT и NAT.

Дополнительную информацию о настройке списков контроля доступа для PIX/ASA см. в документе PIX/ASA 7.x: "Перенаправление портов (переадресация) с помощью команд nat, global, static и access-list".

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Примечание: Для получения дополнительной информации о том, как устранить неполадки PIX/ASA, отнеситесь для Устранения проблем Соединений через PIX и ASA.

Некоторые команды show поддерживаются Средством интерпретации выходных данных(только зарегистрированные клиенты), которое позволяет просматривать аналитику выходных данных команды show.

Примечание: Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

  • {\f3 debug icmp trace}—{\f3 данная команда показывает, достигают ли устройства PIX запросы ICMP, отправляемые хостами.} Для запуска этой процедуры отладки добавьте в конфигурацию команду conduit permit icmp any any. После завершения отладки удалите команду conduit permit icmp any any, чтобы избежать возможной угрозы безопасности.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10136