Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA 8.3 (x): подключите три внутренних сети с интернет-Примером конфигурации

5 апреля 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (2 декабря 2015) | Отзыв


Содержание


Введение

Этот документ предоставляет сведения о том, как установить устройство адаптивной защиты Cisco (ASA) с версией 8.3 (1) для использования с тремя внутренними сетями. Для упрощения в маршрутизаторах используются статические маршруты.

Обратитесь к PIX/ASA: Соединение Трех Внутренних сетей с интернет-Примером конфигурации для одинаковой конфигурации на устройстве адаптивной защиты Cisco (ASA) с версиями 8.2 и ранее.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на устройстве адаптивной защиты Cisco (ASA) с версией 8.3 (1).

Сведения, представленные в этом документе, были получены от устройств в специфической лабораторной среде. Все устройства, используемые в этом документе, были запущены с чистой конфигурацией (конфигурацией по умолчанию). При работе с реальной сетью необходимо полностью осознавать возможные результаты использования всех команд.

Условные обозначения

Обратитесь к Cisco Technical Tips Conventions для получения дополнительной информации об условных обозначениях в документации.

Настройка

В этом разделе содержатся сведения о настройке функций, описанных в этом документе.

Примечание: Дополнительные сведения о командах, используемых в данном документе, можно получить с помощью средства поиска команд (только для зарегистрированных клиентов).

Схема сети

В этом документе использованы параметры данной сети.

Примечание: Шлюз по умолчанию для узлов сети 10.1.1.0 указывает на маршрутизатор RouterA. В маршрутизаторе RouterB добавлен маршрут по умолчанию, который указывает на RouterA. RouterA имеет маршрут по умолчанию, который указывает к Внутреннему интерфейсу ASA.

http://www.cisco.com/c/dam/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/113041-asa-3net-01.gif

Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, которые использовались в лабораторной среде.

Конфигурация ASA 8.3

Эти конфигурации используются в данном документе.

При наличии результата выполнения команды write terminal для устройства Cisco, можно воспользоваться интерпретатором выходных данных команд (только для зарегистрированных пользователей) для просмотра потенциальных проблем и мер их устранения.

Конфигурация маршрутизатора A
RouterA#show running-config 
Building configuration...

Current configuration : 1151 bytes
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!
boot-start-marker
boot-end-marker
!
enable password cisco
!
memory-size iomem 25
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef
!
!
!
!
ip audit po max-events 100
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.2 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
ip address 10.2.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password ww
login
!
!
end

RouterA#

Конфигурация маршрутизатора B
RouterB#show running-config
Building configuration...

Current configuration : 1132 bytes
!
version 12.4
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterB
!
boot-start-marker
boot-end-marker
!
!
no network-clock-participate slot 1 
no network-clock-participate wic 0 
no network-clock-participate wic 1 
no network-clock-participate wic 2 
no network-clock-participate aim 0 
no network-clock-participate aim 1 
no aaa new-model
ip subnet-zero
ip cef 
!
!
!
!
ip audit po max-events 100
no ip domain lookup
no ftp-server write-enable
!
!
!
!
! 
no crypto isakmp enable
!
!
!
interface FastEthernet0/0
ip address 10.1.1.3 255.255.255.0
duplex auto
speed auto
no cdp enable
!
interface FastEthernet0/1
ip address 10.3.1.1 255.255.255.0
duplex auto
speed auto
!
interface IDS-Sensor1/0
no ip address
shutdown
hold-queue 60 out
!
ip classless
ip route 0.0.0.0 0.0.0.0 10.1.1.2
no ip http server
no ip http secure-server
!
!
!
!
!
control-plane
!
!
!
line con 0
stopbits 1
line 33
no activation-character
no exec
transport preferred none
transport input all
transport output all
line aux 0
line vty 0 4
password cisco
login
!
!
end

RouterB# 

ASA 8.3 и более поздняя конфигурация

Примечание: Команды не по умолчанию показаны полужирным шрифтом.

ASA 8.3 (1) рабочий Config
ASA#show run
: Saved
:
ASA Version 8.3(1)
!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 10.165.200.225 255.255.255.224
!
interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0
!
boot system disk0:/asa831-k8.bin

ftp mode passive


!--- Output Suppressed





!--- Creates an object called OBJ_GENERIC_ALL.
!--- Any host IP not already matching another configured
!--- object will get PAT to the outside interface IP
!--- on the ASA (or 10.165.200.226) for internet bound traffic.


object network OBJ_GENERIC_ALL 
subnet 0.0.0.0 0.0.0.0  
nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface



!--- Output Suppressed




!--- Define a default route to the ISP router.


route outside 0.0.0.0 0.0.0.0 10.165.200.226 1



!--- Define a route to the INTERNAL router with network 10.2.1.0.


route inside 10.2.1.0 255.255.255.0 10.1.1.2 1



!--- Define a route to the INTERNAL router with network 10.3.1.0.


route inside 10.3.1.0 255.255.255.0 10.1.1.3 1

: end

Примечание: Для получения дополнительной информации о конфигурации NAT и PAT на ASA 8.3, обратитесь к информации О NAT.

Дополнительную информацию о настройке списков доступа для PIX/ASA см. в PIX/ASA 7.x: "Перенаправление портов (переадресация) с помощью команд nat, global, static и access-list".

Проверка.

В настоящее время для этой конфигурации нет процедуры проверки.

Устранение неполадок

В этом разделе описывается процесс устранения неполадок конфигурации.

Примечание: Для получения дополнительной информации о том, как устранить неполадки PIX/ASA, отнеситесь для Устранения проблем Соединений через PIX и ASA.

Команды для устранения неполадок

Средство Output Interpreter (OIT) (только для зарегистрированных клиентов) поддерживает определенные команды show. Посредством OIT можно анализировать выходные данные команд show.

Примечание: Прежде чем выполнять какие-либо команды отладки , ознакомьтесь с документом "Важные сведения о командах отладки".

  • {\f3 debug icmp trace}—{\f3 данная команда показывает, достигают ли устройства PIX запросы ICMP, отправляемые хостами.} Для выполнения этой отладки добавьте команду access-list, чтобы разрешить ICMP в вашей конфигурации.

  • logging buffer debugging – отображает установленные соединения и отказы в подключении к узлам, которые используют PIX. � информация хранится в буфере журнала PIX и выходных данных, может быть замечен использующий команду show log.

Дополнительные сведения о настройке записей в журнал см. в разделе Настройка системного журнала PIX.

Связанные обсуждения сообщества поддержки Cisco

В рамках сообщества поддержки Cisco можно задавать и отвечать на вопросы, обмениваться рекомендациями и совместно работать со своими коллегами.


Дополнительные сведения


Document ID: 113041