Este documento proporciona una configuración de muestra para la versión 7.x y posterior del Dispositivo de Seguridad PIX/ASA con varias redes internas que se conectan a Internet (o a una red externa) usando la interfaz de línea de comandos (CLI) o Adaptive Security Device Manager (ASDM) 5.x y posterior.
Consulte Establecimiento y Solución de Problemas de Conectividad a través del Dispositivo de Seguridad de Cisco para obtener información sobre cómo establecer y resolver problemas de conectividad a través de PIX/ASA.
Refiérase a Uso de los Comandos nat, global, static, conduit, and access-list y Port Redirection (Forwarding) en PIX para obtener información sobre los comandos PIX comunes.
Nota: Algunas opciones de otras versiones de ASDM pueden parecer diferentes de las opciones de ASDM 5.1. Consulte la documentación ASDM para obtener más información.
Cuando agregue más de una red interna detrás de un Firewall PIX, tenga en cuenta estos puntos:
El PIX no soporta el direccionamiento secundario.
Se debe utilizar un router detrás del PIX para lograr el ruteo entre la red existente y la red recién agregada.
El gateway predeterminado de todos los hosts debe apuntar al router interno.
Agregue una ruta predeterminada en el router interno que apunte al PIX.
Borre la caché del protocolo de resolución de direcciones (ARP) en el router interno.
Consulte Cómo Permitir Acceso HTTPS para ASDM para permitir que el dispositivo sea configurado por el ASDM.
La información que contiene este documento se basa en las siguientes versiones de software y hardware.
PIX Security Appliance 515E con versión de software 7.1
ASDM 5.1
Routers Cisco con software Cisco IOS® versión 12.3(7)T
Nota: Este documento ha sido recertificado con la versión 8.x del software PIX/ASA y la versión 12.4 del software del IOS de Cisco.
La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.
Esta configuración también se puede utilizar con Cisco ASA Security Appliance versión 7.x y posteriores.
Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.
En esta sección encontrará la información para configurar las funciones descritas en este documento.
Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.
Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.
En esta situación, hay tres redes internas (10.1.1.0/24, 10.2.1.0/24 y 10.3.1.0/24) que se deben conectar a Internet (o a una red externa) a través de PIX. Las redes internas están conectadas a la interfaz interna de PIX. La conectividad a Internet es a través de un router que está conectado a la interfaz exterior del PIX. El PIX tiene la dirección IP 172.16.1.1/24.
Las rutas estáticas se utilizan para rutear los paquetes de las redes internas a Internet y viceversa. En lugar de utilizar las rutas estáticas, también puede utilizar un protocolo de enrutamiento dinámico, como el Protocolo de información de enrutamiento (RIP) o OSPF (Abrir primero la ruta de acceso más corta).
Los hosts internos se comunican con Internet mediante la traducción de las redes internas en PIX mediante NAT dinámica (conjunto de direcciones IP - 172.16.1.5 a 172.16.1.10 ). Si se agota el conjunto de direcciones IP, el PIX aplicará PAT (usando la dirección IP 172.16.1.4) a los hosts internos para alcanzar Internet.
Consulte Sentencias NAT y PAT de PIX/ASA 7.x para obtener más información sobre NAT/PAT.
Nota: Si el NAT estático utiliza la dirección IP externa (global_IP) para traducir, esto puede causar una traducción. Por lo tanto, use la interfaz de la palabra clave en vez de la dirección IP en la traducción estática.
En este documento, se utiliza esta configuración de red:
La gateway predeterminada de los hosts en la red 10.1.1.0 apunta hacia el RouterA. Se agrega una ruta predeterminada en el RouterB que apunta al RouterA. RouterA tiene una ruta predeterminada que señala a la interfaz interior de PIX.
En este documento, se utilizan estas configuraciones:
Configuración del RouterA |
---|
RouterA#show running-config Building configuration... Current configuration : 1151 bytes ! version 12.4 service config service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterA ! interface Ethernet2/0 ip address 10.2.1.1 255.255.255.0 half-duplex ! interface Ethernet2/1 ip address 10.1.1.2 255.255.255.0 half-duplex ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.3.1.0 255.255.255.0 10.1.1.3 ! ! line con 0 line aux 0 line vty 0 4 ! end RouterA# |
Configuración del RouterB |
---|
RouterB#show running-config Building configuration... Current configuration : 1132 bytes ! version 12.4 service config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RouterB ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 speed auto ! interface Ethernet1/0 ip address 10.3.1.1 255.255.255.0 half-duplex ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.2 ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end RouterB# |
Si desea utilizar el ASDM para la configuración del dispositivo de seguridad PIX, pero no ha iniciado el dispositivo, complete estos pasos:
Consola en el PIX.
Desde una configuración despejada, utilice los mensajes interactivos para habilitar ASDM para la administración del PIX desde la estación de trabajo 10.1.1.5.
Configuración de PIX Security Appliance 7.1 |
---|
Pre-configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.5 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ-PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.5 Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands INFO: converting 'fixup protocol netbios 137-138' to MPF commands INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. OZ-PIX> |
Complete estos pasos para configurar a través de la GUI de ASDM:
Desde la estación de trabajo 10.1.1.5, abra un navegador web para utilizar ADSM (en este ejemplo, https://10.1.1.1).
Haga clic en sí en las indicaciones del certificado.
Inicie sesión con la contraseña de activación, como se configuró anteriormente.
Si esta es la primera vez que se ejecuta ASDM en el PC, se le solicitará que utilice ASDM Launcher o ASDM como una aplicación Java. En este ejemplo, se selecciona e instala el punto de ejecución de ASDM.
Vaya a la ventana principal de ASDM y haga clic en Configuration.
Elija Interface > Edit para configurar la interfaz externa.
Ingrese los detalles de la interfaz y haga clic en Aceptar cuando haya terminado.
Haga clic en Aceptar en el cuadro de diálogo Cambio de nivel de seguridad.
Haga clic en Apply para aceptar la configuración de la interfaz. La configuración también se envía al PIX.
Elija Política de seguridad en la pestaña Funciones para revisar la regla de política de seguridad utilizada. En este ejemplo, se utiliza la regla interna predeterminada.
En este ejemplo, se utiliza NAT. Desmarque la casilla de verificación Enable traffic through the firewall without address translation y haga clic en Add para configurar la regla NAT.
Configuración de la red de origen. En este ejemplo, se utiliza 10.0.0.0 para la dirección IP y 255.0.0.0 para la máscara.
Haga clic en Administrar Pools para definir las direcciones del pool NAT.
Seleccione la interfaz externa y haga clic en Add.
En este ejemplo, se configura un conjunto de direcciones PAT y de intervalo. Configure la dirección del conjunto NAT del rango y haga clic en Aceptar.
Seleccione la interfaz externa en el paso 13 para configurar la dirección PAT. Haga clic en OK (Aceptar).
Haga clic en Aceptar para continuar.
En la ventana Edit Address Translation Rule (Editar regla de traducción de direcciones), seleccione el ID de conjunto que utilizará la red de origen configurada. Click OK.
Haga clic en Apply para enviar la regla NAT configurada al PIX.
En este ejemplo, se utilizan rutas estáticas. Haga clic en Routing, elija Static Route y haga clic en Add.
Configure la puerta de enlace predeterminada y haga clic en OK.
Haga clic en Add y agregue las rutas a las redes internas.
Confirme que las rutas correctas estén configuradas y haga clic en Apply.
La configuración mediante la GUI de ASDM ha finalizado.
Puede ver esta configuración a través de la CLI:
CLI del dispositivo de seguridad PIX |
---|
pixfirewall(config)#write terminal PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 !--- Assign name and IP address to the interfaces enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control !--- Enforce a strict NAT for all the traffic through the Security appliance global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0 !--- Define a pool of global addresses 172.16.1.5 to 172.16.1.10 with !--- NAT ID 1 to be used for NAT global (outside) 1 172.16.1.4 netmask 255.255.255.0 !--- Define a single IP address 172.16.1.4 with NAT ID 1 to be used for PAT nat (inside) 1 10.0.0.0 255.0.0.0 !--- Define the inside networks with same NAT ID 1 used in the global command for NAT route inside 10.3.1.0 255.255.255.0 10.1.1.3 1 route inside 10.2.1.0 255.255.255.0 10.1.1.2 1 !--- Configure static routes for routing the packets towards the internal network route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 !--- Configure static route for routing the packets towards the Internet (or External network) timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable !--- Enable the HTTP server on PIX for ASDM access http 10.1.1.5 255.255.255.255 inside !--- Enable HTTP access from host 10.1.1.5 to configure PIX using ASDM (GUI) ! !--- Output suppressed ! ! Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5 : end |
Elija File > Show Running Configuration in New Window para ver la configuración de CLI en ASDM.
Actualmente, no hay un procedimiento de verificación disponible para esta configuración.
La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.
Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.
debug icmp trace—Muestra si las solicitudes ICMP de los hosts llegan al PIX. Para ejecutar este debug, debe agregar el comando access-list para permitir el ICMP en su configuración.
logging buffer debugging: muestra las conexiones que se establecen y se deniegan a los hosts que pasan a través del PIX. La información se almacena en el buffer de registro PIX y puede ver el resultado con el comando show log.
ASDM se puede utilizar para habilitar el registro y también para ver los registros:
Elija Configuration > Properties > Logging > Logging Setup, marque Enable Logging y haga clic en Apply.
Elija Monitoring > Logging > Log Buffer > Logging Level y elija Logging Buffer en la lista desplegable. Haga clic en Ver.
A continuación se muestra un ejemplo de Log Buffer:
En algunos casos, las redes internas no pueden acceder a los sitios web de Internet mediante el uso de un nombre (funciona con una dirección IP) en el navegador web. Este problema es común y suele ocurrir si el servidor DNS no está definido, especialmente en los casos en que PIX/ASA es el servidor DHCP. También, esto puede ocurrir en los casos en que el PIX/ASA no puede presionar el servidor DNS o si el servidor DNS no es alcanzable.
Revisión | Fecha de publicación | Comentarios |
---|---|---|
1.0 |
27-Jan-2005 |
Versión inicial |