Dit document bevat informatie over het instellen van de Cisco adaptieve security applicatie (ASA) met versie 8.3(1) voor gebruik met drie interne netwerken. Statische routes worden gebruikt op de routers voor eenvoud.
Raadpleeg PIX/ASA : Drie interne netwerken aansluiten op het voorbeeld Internet Configuration voor dezelfde configuratie voor Cisco adaptieve security applicatie (ASA) met versies 8.2 en hoger.
Er zijn geen specifieke vereisten van toepassing op dit document.
De informatie in dit document is gebaseerd op Cisco adaptieve security applicatie (ASA) met versie 8.3(1).
De informatie in dit document is gebaseerd op apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als u in een levend netwerk werkt, zorg er dan voor dat u de potentiële impact van om het even welke opdracht begrijpt alvorens het te gebruiken.
Raadpleeg Cisco Technical Tips Convention voor meer informatie over documentconventies.
Deze sectie bevat informatie over het configureren van de functies die in dit document worden beschreven.
N.B.: Als u aanvullende informatie wilt vinden over de opdrachten in dit document, gebruikt u het Opdrachtplanningprogramma (alleen geregistreerd klanten).
Het netwerk in dit document is als volgt opgebouwd.
Opmerking: de standaardgateway van de hosts op de 10.1.1.0-netwerkpunten naar RouterA. Een standaardroute op RouterB wordt toegevoegd die aan RouterA wijst. RouterA heeft een standaardroute die naar de ASA binneninterface wijst.
Opmerking: de IP-adresseringsschema's die in deze configuratie worden gebruikt, zijn niet wettelijk routeerbaar op het internet. Ze zijn RFC 1918-adressen die in een labomgeving zijn gebruikt.
Dit document gebruikt deze configuraties.
Als u de output van een opdracht schrijfterminal van uw Cisco-apparaat hebt, kunt u uitgangsinterfaces gebruiken (alleen geregistreerde klanten) om potentiële problemen en oplossingen weer te geven.
Configuratie van routerA |
---|
RouterA#show running-config Building configuration... Current configuration : 1151 bytes ! version 12.4 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterA ! boot-start-marker boot-end-marker ! enable password cisco ! memory-size iomem 25 no network-clock-participate slot 1 no network-clock-participate wic 0 no network-clock-participate wic 1 no network-clock-participate wic 2 no network-clock-participate aim 0 no network-clock-participate aim 1 no aaa new-model ip subnet-zero ip cef ! ! ! ! ip audit po max-events 100 no ftp-server write-enable ! ! ! ! ! no crypto isakmp enable ! ! ! interface FastEthernet0/0 ip address 10.1.1.2 255.255.255.0 duplex auto speed auto ! interface FastEthernet0/1 ip address 10.2.1.1 255.255.255.0 duplex auto speed auto ! interface IDS-Sensor1/0 no ip address shutdown hold-queue 60 out ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.3.1.0 255.255.255.0 10.1.1.3 no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 line 33 no activation-character no exec transport preferred none transport input all transport output all line aux 0 line vty 0 4 password ww login ! ! end RouterA# |
Routerconfiguratie |
---|
RouterB#show running-config Building configuration... Current configuration : 1132 bytes ! version 12.4 no service pad service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterB ! boot-start-marker boot-end-marker ! ! no network-clock-participate slot 1 no network-clock-participate wic 0 no network-clock-participate wic 1 no network-clock-participate wic 2 no network-clock-participate aim 0 no network-clock-participate aim 1 no aaa new-model ip subnet-zero ip cef ! ! ! ! ip audit po max-events 100 no ip domain lookup no ftp-server write-enable ! ! ! ! ! no crypto isakmp enable ! ! ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 duplex auto speed auto no cdp enable ! interface FastEthernet0/1 ip address 10.3.1.1 255.255.255.0 duplex auto speed auto ! interface IDS-Sensor1/0 no ip address shutdown hold-queue 60 out ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.2 no ip http server no ip http secure-server ! ! ! ! ! control-plane ! ! ! line con 0 stopbits 1 line 33 no activation-character no exec transport preferred none transport input all transport output all line aux 0 line vty 0 4 password cisco login ! ! end RouterB# |
N.B.: Opdrachten die geen standaardinstellingen hebben, worden vet weergegeven.
ASA 8.3(1) actieve configuratie |
---|
ASA#show run : Saved : ASA Version 8.3(1) ! hostname ASA enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted names ! interface Ethernet0 nameif outside security-level 0 ip address 10.165.200.225 255.255.255.224 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 ! boot system disk0:/asa831-k8.bin ftp mode passive !--- Output Suppressed !--- Creates an object called OBJ_GENERIC_ALL. !--- Any host IP not already matching another configured !--- object will get PAT to the outside interface IP !--- on the ASA (or 10.165.200.226) for internet bound traffic. object network OBJ_GENERIC_ALL subnet 0.0.0.0 0.0.0.0 nat (inside,outside) source dynamic OBJ_GENERIC_ALL interface !--- Output Suppressed !--- Define a default route to the ISP router. route outside 0.0.0.0 0.0.0.0 10.165.200.226 1 !--- Define a route to the INTERNAL router with network 10.2.1.0. route inside 10.2.1.0 255.255.255.0 10.1.1.2 1 !--- Define a route to the INTERNAL router with network 10.3.1.0. route inside 10.3.1.0 255.255.255.0 10.1.1.3 1 : end |
Opmerking: Raadpleeg voor meer informatie over de configuratie van NAT en PAT in ASA 8.3 de informatie over NAT.
Voor meer informatie over hoe te om toegangslijsten op PIX/ASA te configureren raadpleegt u PIX/ASA 7.x: Poortomleiding (doorsturen) met opgaven voor natte, globale, statische en toegangslijsten.
Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.
Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.
Opmerking: Raadpleeg voor meer informatie over hoe u PIX/ASA kunt oplossen, de verbindingen voor probleemoplossing via PIX en ASA.
Het Uitvoer Tolk (uitsluitend geregistreerde klanten) (OIT) ondersteunt bepaalde show opdrachten. Gebruik de OIT om een analyse van tonen opdrachtoutput te bekijken.
Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten gebruikt.
debug icmp Tracß toont of de verzoeken van ICMP van de gastheren de PIX bereiken. U moet de opdracht toegangslijst toevoegen om ICMP in uw configuratie toe te staan om dit debug uit te voeren.
logingbuffer debuggingß- Geeft verbindingen weer die zijn ingesteld en ontkend op hosts die door de PIX gaan? De informatie wordt opgeslagen in de PIX-logbuffer en de uitvoer kan worden gezien met behulp van de opdracht Show log.
Raadpleeg Installatie van het PIX-systeem voor meer informatie over het instellen van logbestanden.
Revisie | Publicatiedatum | Opmerkingen |
---|---|---|
1.0 |
09-Jun-2011 |
Eerste vrijgave |