Безопасность : Устройства защиты Cisco PIX серии 500

Пример конфигурации "PIX/ASA: соединение двух внутренних сетей с Интернетом"

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Перевод, выполненный профессиональным переводчиком (16 ноября 2010) | Английский (22 августа 2015) | Отзыв


Интерактивно этот документ предлагает анализ конкретного устройства Cisco.


Содержание


Введение

Этот пример конфигурации демонстрирует настройку устройств адаптивной защиты Cisco (PIX/ASA) для использования с двумя внутренними сетями.

Обратитесь к ASA 8.3 (x): Подключите Две Внутренних сети с интернет-Примером конфигурации для получения дополнительной информации об одинаковой конфигурации с устройством адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

Предварительные условия

Требования

При добавлении второй внутренней сети за межсетевым экраном PIX необходимо иметь в виду следующее.

  • PIX не может маршрутизировать пакеты.

  • PIX не поддерживает вторичную адресацию.

  • За PIX должен быть размещен маршрутизатор, который будет обеспечивать маршрутизацию между имеющейся сетью и вновь добавляемой сетью.

  • Шлюз по умолчанию для всех узлов должен указывать на внутренний маршрутизатор.

  • На внутреннем маршрутизаторе добавьте маршрут по умолчанию, который указывает на PIX.

  • Не забудьте очистить кэш протокола разрешения адресов (ARP) на внутреннем маршрутизаторе.

Используемые компоненты

Сведения, содержащиеся в данном документе, касаются следующих версий программного и аппаратного обеспечения:

  • ПО межсетевого экрана Cisco PIX версии 6.x и более поздних

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Родственные продукты

Эту конфигурацию также можно использовать для Cisco 5500 Series Adaptive Security Appliance, на котором запущена версия 7.x или более поздняя.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Технические рекомендации Cisco. Условные обозначения.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе используются настройки сети, показанные на данной диаграмме.

/image/gif/paws/10138/19b-1.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, используемые в лабораторной среде.

Настройка PIX 6.x

В данном документе используются конфигурации, показанные ниже.

При наличии результата выполнения команды write terminal для устройства Cisco, можно воспользоваться интерпретатором выходных данных команд (только для зарегистрированных пользователей) для просмотра потенциальных проблем и мер их устранения.

Настройка PIX 6.3
PIX Version 6.3(3)

nameif ethernet0 outside security0
nameif ethernet1 inside security100

enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
hostname pixfirewall


!--- Output Suppressed






!--- Enable logging. 


logging on


!--- Output Suppressed






!--- All interfaces are shutdown by default. 


mtu outside 1500
mtu inside 1500
mtu intf2 1500


!--- These commands define an IP address for each interface.


ip address outside 10.165.200.226 255.255.255.224
ip address inside 10.1.1.1 255.255.255.0

no failover   
failover timeout 0:00:00
failover ip address outside 0.0.0.0
failover ip address inside 0.0.0.0

arp timeout 14400


!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2
: end         
[OK]

!--- Output Suppressed

Конфигурация маршрутизатора B
Building configuration...

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
!
!
!
!
!
!

!
interface Ethernet0/0
 ip address 10.1.1.2 255.255.255.0

 no ip directed-broadcast
 
!
interface Ethernet0/1

!--- Assigns an IP address to the PIX-facing Ethernet interface.

 ip address 10.1.2.1 255.255.255.0 

 no ip directed-broadcast

!
interface BRI1/0
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/1
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/2
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
interface BRI1/3
 no ip address
 no ip directed-broadcast
 shutdown
 isdn guard-timer 0 on-expiry accept
!
ip classless

!--- This route instructs the inside router to forward all 
!--- non-local packets to the PIX.

ip route 0.0.0.0 0.0.0.0 10.1.1.1
no ip http server
!
!
line con 0
 exec-timeout 0 0
 length 0
 transport input none
line aux 0
line vty 0 4
 password ww
 login
!
end

Настройка PIX/ASA 7.x и последующих версий

Примечание: Команды не по умолчанию показаны полужирным шрифтом.

PIX/ASA
pixfirewall# sh run
: Saved
:
PIX Version 8.0(2)
!
hostname pixfirewall
enable password 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.226 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!


!--- Output Suppressed




!--- Enable logging.


logging enable



!--- Output Suppressed



!--- Specify the global address to be used.


global (outside) 1 10.165.200.227-10.165.200.254 netmask 255.255.255.224


!--- Specify a pool of addresses on the outside interface 
!--- to which the hosts defined in the NAT statement are translated.
 

nat (inside) 1 0.0.0.0 0.0.0.0 0 0


!--- Sets the default route for the PIX Firewall at 10.165.200.225.


route outside 0.0.0.0 0.0.0.0 10.165.200.225 1


!--- Creates a static route for the 10.1.2.x network with 10.1.1.2.
!--- The PIX forwards packets with these addresses to the router 
!--- at 10.1.1.2.


route inside 10.1.2.0 255.255.255.0 10.1.1.2

: end

!--- Output Suppressed

Примечание: Для получения дополнительной информации о настройке NAT и PAT на PIX/ASA обращаются PIX/ASA документа 7.x Операторы PAT и NAT

Дополнительную информацию о настройке списков доступа для PIX/ASA см. в документе PIX/ASA 7.x: "Перенаправление портов (переадресация) с помощью команд nat, global, static и access-list"

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Примечание: Для получения дополнительной информации о том, как устранить неполадки PIX/ASA, отнеситесь для Устранения проблем Соединений через PIX и ASA.

Команды для устранения неполадок

Примечание: Прежде чем применять команды отладки, ознакомьтесь с разделом "Важные сведения о командах отладки".

  • {\f3 debug icmp trace}—{\f3 данная команда показывает, достигают ли устройства PIX запросы ICMP, отправляемые хостами.} Для запуска этой процедуры отладки добавьте в конфигурацию команду conduit permit icmp any any. После завершения отладки удалите команду conduit permit icmp any any, чтобы избежать возможной угрозы безопасности.

Сведения, необходимые для открытия заявки в Центре технической поддержки Cisco

Если действия по поиску и устранению неполадок, приведенные в данном документе, не дали результата, и вы хотите оформить запрос в службу технической поддержки Cisco, то обязательно включите в него следующую информацию для устранения неполадок в межсетевом экране PIX.
  • Описание проблемы и соответствующие сведения о топологии.
  • Меры по устранению неполадок, предпринятые до оформления запроса.
  • Выходные данные команды show tech-support.
  • Выходные данные команды show log после выполнения команды logging buffered debugging или снимки консоли, демонстрирующие проблему (при их наличии).
  • Вывод команды debug icmp trace при попытке пропустить трафик ICMP через межсетевой экран.
Присоедините собранные данные к запросу в простом текстовом формате (.txt), не архивируя файл. Информацию можно приложить к запросу путем загрузки с помощью программы подготовки запросов в Центр технической поддержки (только для зарегистрированных заказчиков). Если программа подготовки запросов недоступна, то необходимые данные можно отправить как вложение в электронное сообщение по адресу attach@cisco.com, указав в теме сообщения номер обращения.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 10138