Este documento proporciona la información sobre cómo configurar el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3(1) para el uso con tres redes internas. Las rutas estáticas se utilizan en los routers para simplificar.
Consulte PIX/ASA: Conexión de tres redes internas con el ejemplo de configuración de Internet para la misma configuración en el dispositivo de seguridad adaptante de Cisco (ASA) con las versiones 8.2 y anterior.
No hay requisitos específicos para este documento.
La información en este documento se basa en el dispositivo de seguridad adaptante de Cisco (ASA) con la versión 8.3(1).
La información que se presenta en este documento se originó a partir de dispositivos dentro de un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). Si la red está funcionando, asegúrese de haber comprendido el impacto que puede tener un comando antes de ejecutarlo.
Refiera a los convenios de los consejos técnicos de Cisco para más información sobre las convenciones sobre documentos.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Para obtener información adicional sobre los comandos que se utilizan en este documento, use la Command Lookup Tool (solo para clientes registrados).
Este documento utiliza esta configuración de red:
Nota: La gateway predeterminada de los hosts en la red 10.1.1.0 apunta hacia el RouterA. Una ruta predeterminado en el routerB se agrega que señala al routerA. El routerA tiene una ruta predeterminado esas puntas a la interfaz interior ASA.
Nota: Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son las direcciones RFC1918 que se han utilizado en un entorno de laboratorio.
Este documento usa estas configuraciones.
Si usted tiene la salida de un comando write terminal de su dispositivo de Cisco, usted puede utilizar el Output Interpreter (clientes registrados solamente) para visualizar los problemas potenciales y los arreglos.
Configuración del router A |
---|
RouterA#show running-config Building configuration... Current configuration : 1151 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterA ! boot-start-marker boot-end-marker ! enable password cisco ! memory-size iomem 25 no network-clock-participate slot 1 no network-clock-participate wic 0 no network-clock-participate wic 1 no network-clock-participate wic 2 no network-clock-participate aim 0 no network-clock-participate aim 1 no aaa new-model ip subnet-zero ip cef ! ! ! ! ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! no crypto isakmp enable ! ! ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.2.1.1 255.255.255.0 duplex auto speed auto ! interface IDS-Sensor1/0 no ip address shutdown hold-queue 60 out ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.3.1.0 255.255.255.0 10.1.1.3 no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 line 33 no activation-character no exec transport preferred none transport input all transport output all line aux 0 line vty 0 4 password ww login ! ! end RouterA# |
Configuración del RouterB |
---|
RouterB#show running-config Building configuration... Current configuration : 1132 bytes ! version 12.4 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterB ! boot-start-marker boot-end-marker ! ! no network-clock-participate slot 1 no network-clock-participate wic 0 no network-clock-participate wic 1 no network-clock-participate wic 2 no network-clock-participate aim 0 no network-clock-participate aim 1 no aaa new-model ip subnet-zero ip cef ! ! ! ! ip audit po max-events 100 no ip domain lookup no ftp-server write-enable ! ! ! ! ! no crypto isakmp enable ! ! ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 duplex auto speed auto no cdp enable ! interface FastEthernet0/1 ip address 10.3.1.1 255.255.255.0 duplex auto speed auto ! interface IDS-Sensor1/0 no ip address shutdown hold-queue 60 out ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.2 no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 stopbits 1 line 33 no activation-character no exec transport preferred none transport input all transport output all line aux 0 line vty 0 4 password cisco login ! ! end RouterB# |
Nota: Los comandos no valor por defecto se muestran en intrépido.
Config que se ejecutan ASA 8.3(1) |
---|
ASA#show run : Saved : ASA Version 8.3(1) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 10.165.200.225 255.255.255.224 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! boot system disk0:/asa831-k8.bin ftp mode passive !--- Output Suppressed !--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.165.200.226) for internet bound traffic. object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0 nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface !--- Output Suppressed !--- Define a default route to the ISP router. route outside 0.0.0.0 0.0.0.0 10.165.200.226 1 !--- Define a route to the INTERNAL router with network 10.2.1.0. route inside 10.2.1.0 255.255.255.0 10.1.1.2 1 !--- Define a route to the INTERNAL router with network 10.3.1.0. route inside 10.3.1.0 255.255.255.0 10.1.1.3 1 : end |
Nota: Para más información sobre la configuración del NAT y de la PALMADITA en ASA 8.3, refiera a la información sobre el NAT.
Para más información sobre cómo configurar las Listas de acceso en el PIX/ASA, refiera al PIX/ASA 7.x: Redirección de puerto (expedición) con nacional, global, los parásitos atmosféricos y los comandos access-list.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
En esta sección encontrará información que puede utilizar para solucionar problemas de configuración.
Nota: Para más información sobre cómo resolver problemas el PIX/ASA, refiera a las conexiones del Troubleshooting con el PIX y el ASA.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos de Debug antes de usar un comando debug.
haga el debug de las demostraciones del del del traceâ ICMP si las peticiones ICMP de los host alcanzan el PIX. Usted necesita agregar el comando access-list de permitir el ICMP en su configuración para ejecutar este debug.
¿el del del debuggingâ de memoria intermedia de registro muestra las conexiones que son establecidas y negadas a los host que pasan con el PIX.? La información se salva en el búfer del registro PIX y la salida se puede considerar usando el comando show log.
Refiera a configurar el syslog PIX para más información sobre cómo configurar el registro.