Безопасность : Устройства защиты Cisco PIX серии 500

PIX/ASA: Пример конфигурации подключения трех внутренних сетей к Интернету

28 июля 2013 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (9 февраля 2011) | Английский (24 октября 2008) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

В этом примере конфигурации продемонстрирован порядок настройки устройств защиты Cisco (PIX/ASA) с тремя внутренними сетями. Для упрощения в маршрутизаторах используются статические маршруты.

Обратитесь к ASA 8.3 (x): Подключите Три Внутренних сети с интернет-Примером конфигурации для получения дополнительной информации об одинаковой конфигурации с устройством адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в данном документе относятся к устройствам безопасности PIX 515, работающим под управлением ПО PIX версии 6.x и выше.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эту конфигурацию также можно использовать для устройства адаптивной защиты Cisco серии 5500, на котором запущена версия 7.x или выше.

Условные обозначения

Подробные сведения об условных обозначениях см. в документе "Условное обозначение технических терминов Cisco".

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в данном документе.

 Примечание.Для поиска дополнительной информации о командах, упоминаемых в данном документе, используйте средство Command Lookup Tool (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети.

 Примечание.Шлюз по умолчанию для узлов сети 10.1.1.0 указывает на маршрутизатор RouterA. В маршрутизаторе RouterB добавлен маршрут по умолчанию, который указывает на RouterA. У маршрутизатора А имеется маршрут по умолчанию, который указывает на блок расширения параллельного интерфейса (PIX) внутри интерфейса.

/image/gif/paws/10137/19c.gif

 Примечание.Схемы IP-адресации, используемые в этой конфигурации, нельзя использовать для маршрутизации в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Настройка PIX 6.x

В настоящем документе используются следующие конфигурации.

При наличии результата выполнения команды write terminal для устройства Cisco, можно воспользоваться интерпретатором выходных данных команд (только для зарегистрированных пользователей) для просмотра потенциальных проблем и мер их устранения.

Конфигурация RouterA
RouterA#show running-config 
Building configuration...

Current configuration : 1151 bytes
!
version 12.3
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 25
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.2.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password ww
login
!
!
end

RouterA#

Конфигурация RouterB
RouterB#show running-config
Building configuration...

Current configuration : 1132 bytes
!
version 12.3
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterB
!
boot-start-marker
boot-end-marker
!
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef 
!
!
!
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.3 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.3.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.2
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
stopbits 1
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password cisco
login
!
!
end

RouterB# 

Настройка PIX 6.3
pixfirewall(config)#write terminal
Building configuration...
: Saved
:
PIX Version 6.3(3)
interface ethernet0 auto
interface ethernet1 auto
interface ethernet2 auto shutdown
nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed




!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu pix/intf2 1500
ip address outside 10.165.200.225 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

ip audit info action alarm
ip audit attack action alarm
no failover
failover timeout 0:00:00
failover poll 15
no failover ip address outside
no failover ip address inside

pdm history enable
arp timeout 14400


!--- Output Suppressed




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.165.200.228-10.165.200.254 netmask 255.255.255.224

global (outside) 1 10.165.200.227



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 10.0.0.0 255.0.0.0 0 0


!--- Output Suppressed




!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.226 1



!--- Define a route to the ISP router with network 10.2.1.0.


route inside 10.2.1.0 255.255.255.0 10.1.1.2 1



!--- Define a route to the ISP router with network 10.3.1.0.


route inside 10.3.1.0 255.255.255.0 10.1.1.3 1


!--- Output Suppressed



: end
[OK]


!--- Output Suppressed

Настройка PIX/ASA 7.x (и последующих версий)

 Примечание.Команды не по умолчанию выделены полужирным шрифтом.

PIX/ASA:
pixfirewall#show run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.225 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable




!--- Define a Network Address Translation (NAT) pool that
!--- internal hosts use when going out to the Internet.


global (outside) 1 10.165.200.228-10.165.200.254 netmask 255.255.255.224

global (outside) 1 10.165.200.227



!--- Allow all internal hosts to use 
!--- the NAT or PAT addresses specified previously.


nat (inside) 1 10.0.0.0 255.0.0.0 0 0


!--- Output Suppressed




!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.226 1



!--- Define a route to the ISP router with network 10.2.1.0.


route inside 10.2.1.0 255.255.255.0 10.1.1.2 1



!--- Define a route to the ISP router with network 10.3.1.0.


route inside 10.3.1.0 255.255.255.0 10.1.1.3 1

: end

 Примечание.Дополнительную информацию о конфигурации NAT и PAT для PIX/ASA см. в инструкции NAT и PAT для PIX/ASA 7.x.

Дополнительную информацию о настройке списков доступа для PIX/ASA см. в PIX/ASA 7.x: Перенаправление портов (переадресация) с помощью команд nat, global, static и access-list.

Проверка

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

 Примечание. Дополнительную информацию об устранении неполадок PIX/ASA см. в разделе Устранение неполадок при подключении через PIX и ASA.

Команды для устранения неполадок

Интерпретатор выходных данных – OIT (только для зарегистрированных пользователей) поддерживает ряд команд show. Посредством OIT можно анализировать выходные данные команд show.

 Примечание. Прежде чем использовать команды debug, ознакомьтесь с документом Важная информация о командах отладки.

  • {\f3 debug icmp trace}—{\f3 данная команда показывает, достигают ли устройства PIX запросы ICMP, отправляемые хостами.} Для выполнения этой отладки добавьте команду access-list, чтобы разрешить ICMP в вашей конфигурации.

  • logging buffer debugging – отображает установленные соединения и отказы в подключении к узлам, которые используют PIX. Информация хранится в буфере журнала PIX. Его можно просмотреть при помощи команды show log.

Дополнительные сведения о настройке записей в журнал см. в разделе Настройка системного журнала PIX.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10137