Ejemplo de Configuración de PIX/ASA 7.x y versiones posteriores: Conexión de Varias Redes Internas con Internet

Introducción

Este documento proporciona una configuración de muestra para la versión 7.x y posterior del Dispositivo de Seguridad PIX/ASA con varias redes internas que se conectan a Internet (o a una red externa) usando la interfaz de línea de comandos (CLI) o Adaptive Security Device Manager (ASDM) 5.x y posterior.

Consulte Establecimiento y Solución de Problemas de Conectividad a través del Dispositivo de Seguridad de Cisco para obtener información sobre cómo establecer y resolver problemas de conectividad a través de PIX/ASA.

Refiérase a Uso de los Comandos nat, global, static, conduit, and access-list y Port Redirection (Forwarding) en PIX para obtener información sobre los comandos PIX comunes.

Nota: Algunas opciones de otras versiones de ASDM pueden parecer diferentes de las opciones de ASDM 5.1. Consulte la documentación ASDM para obtener más información.

Prerequisites

Requirements

Cuando agregue más de una red interna detrás de un Firewall PIX, tenga en cuenta estos puntos:

• El PIX no soporta el direccionamiento secundario.

• Se debe utilizar un router detrás del PIX para lograr el ruteo entre la red existente y la red recién agregada.

• El gateway predeterminado de todos los hosts debe apuntar al router interno.

• Agregue una ruta predeterminada en el router interno que apunte al PIX.

• Borre la caché del protocolo de resolución de direcciones (ARP) en el router interno.

Consulte Cómo Permitir Acceso HTTPS para ASDM para permitir que el dispositivo sea configurado por el ASDM.

Componentes Utilizados

La información que contiene este documento se basa en las siguientes versiones de software y hardware.

• PIX Security Appliance 515E con versión de software 7.1

• ASDM 5.1

• Routers Cisco con software Cisco IOS® versión 12.3(7)T

Nota: Este documento ha sido recertificado con la versión 8.x del software PIX/ASA y la versión 12.4 del software del IOS de Cisco.

La información que contiene este documento se creó a partir de los dispositivos en un ambiente de laboratorio específico. Todos los dispositivos que se utilizan en este documento se pusieron en funcionamiento con una configuración verificada (predeterminada). If your network is live, make sure that you understand the potential impact of any command.

Productos Relacionados

Esta configuración también se puede utilizar con Cisco ASA Security Appliance versión 7.x y posteriores.

Convenciones

Consulte Convenciones de Consejos Técnicos de Cisco para obtener más información sobre las convenciones sobre documentos.

Configurar

En esta sección encontrará la información para configurar las funciones descritas en este documento.

Nota: Utilice la herramienta Command Lookup (sólo para clientes registrados) para obtener más información sobre los comandos utilizados en esta sección.

Los esquemas de direccionamiento IP usados en esta configuración no son legalmente enrutables en Internet. Son direcciones RFC 1918 que se han utilizado en un entorno de laboratorio.

Antecedentes

En esta situación, hay tres redes internas (10.1.1.0/24, 10.2.1.0/24 y 10.3.1.0/24) que se deben conectar a Internet (o a una red externa) a través de PIX. Las redes internas están conectadas a la interfaz interna de PIX. La conectividad a Internet es a través de un router que está conectado a la interfaz exterior del PIX. El PIX tiene la dirección IP 172.16.1.1/24.

Las rutas estáticas se utilizan para rutear los paquetes de las redes internas a Internet y viceversa. En lugar de utilizar las rutas estáticas, también puede utilizar un protocolo de enrutamiento dinámico, como el Protocolo de información de enrutamiento (RIP) o OSPF (Abrir primero la ruta de acceso más corta).

Los hosts internos se comunican con Internet mediante la traducción de las redes internas en PIX mediante NAT dinámica (conjunto de direcciones IP - 172.16.1.5 a 172.16.1.10 ). Si se agota el conjunto de direcciones IP, el PIX aplicará PAT (usando la dirección IP 172.16.1.4) a los hosts internos para alcanzar Internet.

Consulte Sentencias NAT y PAT de PIX/ASA 7.x para obtener más información sobre NAT/PAT.

Nota: Si el NAT estático utiliza la dirección IP externa (global_IP) para traducir, esto puede causar una traducción. Por lo tanto, use la interfaz de la palabra clave en vez de la dirección IP en la traducción estática.

Diagrama de la red

En este documento, se utiliza esta configuración de red:

La gateway predeterminada de los hosts en la red 10.1.1.0 apunta hacia el RouterA. Se agrega una ruta predeterminada en el RouterB que apunta al RouterA. RouterA tiene una ruta predeterminada que señala a la interfaz interior de PIX.

Configuraciones

En este documento, se utilizan estas configuraciones:

• Configuración del RouterA

• Configuración del RouterB

• Configuración de PIX Security Appliance 7.1

  • Configuración de PIX mediante ASDM

  • Configuración CLI de PIX Security Appliance

RouterA#show running-config 
Building configuration...

Current configuration : 1151 bytes
!
version 12.4
service config
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname RouterA
!

interface Ethernet2/0
 ip address 10.2.1.1 255.255.255.0
 half-duplex
!

interface Ethernet2/1
 ip address 10.1.1.2 255.255.255.0
 half-duplex
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.1
ip route 10.3.1.0 255.255.255.0 10.1.1.3
!
!
line con 0
line aux 0
line vty 0 4
!
end
RouterA#

RouterB#show running-config
Building configuration...
Current configuration : 1132 bytes
!
version 12.4
service config
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname RouterB
!

interface FastEthernet0/0
 ip address 10.1.1.3 255.255.255.0
 speed auto
!

interface Ethernet1/0
 ip address 10.3.1.1 255.255.255.0
 half-duplex
!
ip classless

ip route 0.0.0.0 0.0.0.0 10.1.1.2
!
control-plane
!
!
line con 0
line aux 0
line vty 0 4
!
end
RouterB#

Si desea utilizar el ASDM para la configuración del dispositivo de seguridad PIX, pero no ha iniciado el dispositivo, complete estos pasos:

1. Consola en el PIX.

2. Desde una configuración despejada, utilice los mensajes interactivos para habilitar ASDM para la administración del PIX desde la estación de trabajo 10.1.1.5.

Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]: 
Enable password [<use current password>]: cisco
Allow password recovery [yes]? 
Clock (UTC):
  Year [2005]: 
  Month [Mar]: 
  Day [15]: 
  Time [05:40:35]: 14:45:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: OZ-PIX
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.5

The following configuration will be used:
         Enable password: cisco
         Allow password recovery: yes
         Clock (UTC): 14:45:00 Mar 15 2005
         Firewall Mode: Routed
         Inside IP address: 10.1.1.1
         Inside network mask: 255.255.255.0
         Host name: OZ-PIX
         Domain name: cisco.com
         IP address of host running Device Manager: 10.1.1.5

Use this configuration and write to flash? yes
         INFO: Security level for "inside" set to 100 by default.
         Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 

965 bytes copied in 0.880 secs
         INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
         INFO: converting 'fixup protocol ftp 21' to MPF commands
         INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
         INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
         INFO: converting 'fixup protocol netbios 137-138' to MPF commands
         INFO: converting 'fixup protocol rsh 514' to MPF commands
         INFO: converting 'fixup protocol rtsp 554' to MPF commands
         INFO: converting 'fixup protocol sip 5060' to MPF commands
         INFO: converting 'fixup protocol skinny 2000' to MPF commands
         INFO: converting 'fixup protocol smtp 25' to MPF commands
         INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
         INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
         INFO: converting 'fixup protocol tftp 69' to MPF commands
         INFO: converting 'fixup protocol sip udp 5060' to MPF commands
         INFO: converting 'fixup protocol xdmcp 177' to MPF commands

Type help or '?' for a list of available commands.
         OZ-PIX>

Configuración de PIX mediante ASDM

Complete estos pasos para configurar a través de la GUI de ASDM:

1. Desde la estación de trabajo 10.1.1.5, abra un navegador web para utilizar ADSM (en este ejemplo, https://10.1.1.1).

2. Haga clic en sí en las indicaciones del certificado.

3. Inicie sesión con la contraseña de activación, como se configuró anteriormente.

4. Si esta es la primera vez que se ejecuta ASDM en el PC, se le solicitará que utilice ASDM Launcher o ASDM como una aplicación Java. En este ejemplo, se selecciona e instala el punto de ejecución de ASDM.

5. Vaya a la ventana principal de ASDM y haga clic en Configuration.

   

6. Elija Interface > Edit para configurar la interfaz externa.

   

7. Ingrese los detalles de la interfaz y haga clic en Aceptar cuando haya terminado.

   

8. Haga clic en Aceptar en el cuadro de diálogo Cambio de nivel de seguridad.

   

9. Haga clic en Apply para aceptar la configuración de la interfaz. La configuración también se envía al PIX.

   

10. Elija Política de seguridad en la pestaña Funciones para revisar la regla de política de seguridad utilizada. En este ejemplo, se utiliza la regla interna predeterminada.

    

11. En este ejemplo, se utiliza NAT. Desmarque la casilla de verificación Enable traffic through the firewall without address translation y haga clic en Add para configurar la regla NAT.

    

12. Configuración de la red de origen. En este ejemplo, se utiliza 10.0.0.0 para la dirección IP y 255.0.0.0 para la máscara.

    Haga clic en Administrar Pools para definir las direcciones del pool NAT.

    

13. Seleccione la interfaz externa y haga clic en Add.

    

14. En este ejemplo, se configura un conjunto de direcciones PAT y de intervalo. Configure la dirección del conjunto NAT del rango y haga clic en Aceptar.

    

15. Seleccione la interfaz externa en el paso 13 para configurar la dirección PAT. Haga clic en OK (Aceptar).

    

    Haga clic en Aceptar para continuar.

    

16. En la ventana Edit Address Translation Rule (Editar regla de traducción de direcciones), seleccione el ID de conjunto que utilizará la red de origen configurada. Click OK.

    

17. Haga clic en Apply para enviar la regla NAT configurada al PIX.

    

18. En este ejemplo, se utilizan rutas estáticas. Haga clic en Routing, elija Static Route y haga clic en Add.

    

19. Configure la puerta de enlace predeterminada y haga clic en OK.

    

20. Haga clic en Add y agregue las rutas a las redes internas.

    

    

21. Confirme que las rutas correctas estén configuradas y haga clic en Apply.

    

Configuración de PIX mediante CLI

La configuración mediante la GUI de ASDM ha finalizado.

Puede ver esta configuración a través de la CLI:

pixfirewall(config)#write terminal
PIX Version 7.0(0)102 
names
!
interface Ethernet0
 nameif outside
 security-level 0
 ip address 172.16.1.1 255.255.255.0 
!

interface Ethernet1
 nameif inside
 security-level 100
 ip address 10.1.1.1 255.255.255.0 

!--- Assign name and IP address to the interfaces

enable password 2KFQnbNIdI.2KYOU encrypted
passwd 2KFQnbNIdI.2KYOU encrypted

asdm image flash:/asdmfile.50073
no asdm history enable
arp timeout 14400

nat-control

!--- Enforce a strict NAT for all the traffic through the Security appliance

global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0

!--- Define a pool of global addresses 172.16.1.5 to 172.16.1.10 with !--- NAT ID 1 to be used for NAT

global (outside) 1 172.16.1.4 netmask 255.255.255.0

!--- Define a single IP address 172.16.1.4 with NAT ID 1 to be used for PAT

nat (inside) 1 10.0.0.0 255.0.0.0

!--- Define the inside networks with same NAT ID 1 used in the global command for NAT

route inside 10.3.1.0 255.255.255.0 10.1.1.3 1
route inside 10.2.1.0 255.255.255.0 10.1.1.2 1

!--- Configure static routes for routing the packets towards the internal network

route outside 0.0.0.0 0.0.0.0 172.16.1.2 1

!--- Configure static route for routing the packets towards the Internet (or External network)


timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 
   h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 
   sip_media 0:02:00
timeout uauth 0:05:00 absolute

http server enable

!--- Enable the HTTP server on PIX for ASDM access

http 10.1.1.5 255.255.255.255 inside

!--- Enable HTTP access from host 10.1.1.5 to configure PIX using ASDM (GUI)


!



!--- Output suppressed

!
!
Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5
: end

Elija File > Show Running Configuration in New Window para ver la configuración de CLI en ASDM.

Verificación

Actualmente, no hay un procedimiento de verificación disponible para esta configuración.

Troubleshoot

Comandos para resolución de problemas

La herramienta Output Interpreter Tool (clientes registrados solamente) (OIT) soporta ciertos comandos show. Utilice la OIT para ver un análisis del resultado del comando show.

Nota: Consulte Información Importante sobre Comandos Debug antes de utilizar los comandos debug.

• debug icmp trace—Muestra si las solicitudes ICMP de los hosts llegan al PIX. Para ejecutar este debug, debe agregar el comando access-list para permitir el ICMP en su configuración.

• logging buffer debugging: muestra las conexiones que se establecen y se deniegan a los hosts que pasan a través del PIX. La información se almacena en el buffer de registro PIX y puede ver el resultado con el comando show log.

Procedimiento de Troubleshooting

ASDM se puede utilizar para habilitar el registro y también para ver los registros:

1. Elija Configuration > Properties > Logging > Logging Setup, marque Enable Logging y haga clic en Apply.

   

2. Elija Monitoring > Logging > Log Buffer > Logging Level y elija Logging Buffer en la lista desplegable. Haga clic en Ver.

   

3. A continuación se muestra un ejemplo de Log Buffer:

   

No se puede acceder a los sitios web por nombre

En algunos casos, las redes internas no pueden acceder a los sitios web de Internet mediante el uso de un nombre (funciona con una dirección IP) en el navegador web. Este problema es común y suele ocurrir si el servidor DNS no está definido, especialmente en los casos en que PIX/ASA es el servidor DHCP. También, esto puede ocurrir en los casos en que el PIX/ASA no puede presionar el servidor DNS o si el servidor DNS no es alcanzable.

Información Relacionada

• Dispositivos de seguridad Cisco PIX de la serie 500
• Cisco ASA 5500 Series Adaptive Security Appliances
• Referencias de Comandos de Cisco Secure PIX Firewall
• Cisco Adaptive Security Device Manager
• Alertas y Troubleshooting de Cisco Adaptive Security Device Manager (ASDM)
• Solicitudes de Comentarios (RFC)
• Soporte Técnico y Documentación - Cisco Systems