PIX/ASA 7.x及更高版本:使用Internet連線多個內部網路的配置示例
目錄
簡介
本文檔提供了PIX/ASA安全裝置版本7.x及更高版本的配置示例,其中包含使用命令列介面(CLI)或自適應安全裝置管理器(ASDM) 5.x及更高版本連線到Internet(或外部網路)的多個內部網路。
有關如何透過PIX/ASA建立連線和排除連線故障的資訊,請參閱透過Cisco安全裝置建立連線和排除連線故障。
有關常見PIX命令的資訊,請參閱在PIX上使用nat、global、static、conduit和access-list命令和埠重定向(轉發)。
注意:其他ASDM版本中的某些選項可能與ASDM 5.1中的選項不同。有關詳細資訊,請參閱ASDM文檔。
必要條件
需求
在PIX防火牆後面增加多個內部網路時,請記住以下幾點:
-
PIX不支援輔助編址。
-
必須在PIX後面使用路由器,以便實現現有網路和新增加網路之間的路由。
-
所有主機的預設網關需要指向內部路由器。
-
在指向PIX的內部路由器上增加預設路由。
-
清除內部路由器上的地址解析協定(ARP)快取。
要使ASDM可配置裝置,請參閱允許ASDM進行HTTPS訪問。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
PIX安全裝置515E,帶軟體版本7.1
-
ASDM 5.1
-
使用Cisco IOS®軟體版本12.3(7)T的Cisco路由器
注意:本文檔已透過PIX/ASA軟體版本8.x和Cisco IOS軟體版本12.4重新認證。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
相關產品
此配置還可用於Cisco ASA安全裝置版本7.x及更高版本。
慣例
設定
本節提供用於設定本文件中所述功能的資訊。
注意:使用命令查詢工具(僅限註冊客戶)可獲取有關此部分使用的命令的更多資訊。
此配置中使用的IP編址方案在Internet上無法合法路由。這些地址是在實驗室環境中使用的RFC 1918地址。
背景資訊
在此場景中,有三個內部網路(10.1.1.0/24、10.2.1.0/24和10.3.1.0/24)要透過PIX連線到Internet(或外部網路)。內部網路連線到PIX的內部介面。Internet連線是透過連線到PIX外部介面的路由器進行的。PIX的IP地址為172.16.1.1/24。
靜態路由用於將資料包從內部網路路由到Internet,反之亦然。除了使用靜態路由之外,您還可以使用動態路由協定,例如路由資訊協定(RIP)或開放最短路徑優先(OSPF)。
內部主機使用動態NAT(IP地址池- 172.16.1.5到172.16.1.10)將PIX上的內部網路轉換為網際網路進行通訊。如果IP地址池用盡,PIX將PAT(使用IP地址172.16.1.4)內部主機訪問Internet。
有關NAT/PAT的詳細資訊,請參閱PIX/ASA 7.x NAT和PAT語句。
注意:如果靜態NAT使用外部IP (global_IP)地址進行轉換,則可能會導致轉換。因此,在靜態轉換中請使用關鍵字interface代替IP地址。
網路圖表
此文件使用以下網路設定:
10.1.1.0網路中主機的預設網關指向RouterA。在RouterB上增加了一條指向RouterA的預設路由。RouterA具有指向PIX內部介面的預設路由。
組態
本檔案使用下列組態:
| RouterA配置 |
|---|
RouterA#show running-config Building configuration... Current configuration : 1151 bytes ! version 12.4 service config service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname RouterA ! interface Ethernet2/0 ip address 10.2.1.1 255.255.255.0 half-duplex ! interface Ethernet2/1 ip address 10.1.1.2 255.255.255.0 half-duplex ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.3.1.0 255.255.255.0 10.1.1.3 ! ! line con 0 line aux 0 line vty 0 4 ! end RouterA# |
| RouterB配置 |
|---|
RouterB#show running-config Building configuration... Current configuration : 1132 bytes ! version 12.4 service config service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname RouterB ! interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 speed auto ! interface Ethernet1/0 ip address 10.3.1.1 255.255.255.0 half-duplex ! ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.2 ! control-plane ! ! line con 0 line aux 0 line vty 0 4 ! end RouterB# |
如果要使用ASDM配置PIX安全裝置,但尚未引導裝置,請完成以下步驟:
-
透過控制檯進入PIX。
-
在清除的配置中,使用互動式提示來啟用ASDM,以便從工作站10.1.1.5管理PIX。
| PIX安全裝置7.1配置 |
|---|
Pre-configure Firewall now through interactive prompts [yes]? yes
Firewall Mode [Routed]:
Enable password [<use current password>]: cisco
Allow password recovery [yes]?
Clock (UTC):
Year [2005]:
Month [Mar]:
Day [15]:
Time [05:40:35]: 14:45:00
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: OZ-PIX
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.5
The following configuration will be used:
Enable password: cisco
Allow password recovery: yes
Clock (UTC): 14:45:00 Mar 15 2005
Firewall Mode: Routed
Inside IP address: 10.1.1.1
Inside network mask: 255.255.255.0
Host name: OZ-PIX
Domain name: cisco.com
IP address of host running Device Manager: 10.1.1.5
Use this configuration and write to flash? yes
INFO: Security level for "inside" set to 100 by default.
Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5
965 bytes copied in 0.880 secs
INFO: converting 'fixup protocol dns maximum-length 512' to MPF commands
INFO: converting 'fixup protocol ftp 21' to MPF commands
INFO: converting 'fixup protocol h323_h225 1720' to MPF commands
INFO: converting 'fixup protocol h323_ras 1718-1719' to MPF commands
INFO: converting 'fixup protocol netbios 137-138' to MPF commands
INFO: converting 'fixup protocol rsh 514' to MPF commands
INFO: converting 'fixup protocol rtsp 554' to MPF commands
INFO: converting 'fixup protocol sip 5060' to MPF commands
INFO: converting 'fixup protocol skinny 2000' to MPF commands
INFO: converting 'fixup protocol smtp 25' to MPF commands
INFO: converting 'fixup protocol sqlnet 1521' to MPF commands
INFO: converting 'fixup protocol sunrpc_udp 111' to MPF commands
INFO: converting 'fixup protocol tftp 69' to MPF commands
INFO: converting 'fixup protocol sip udp 5060' to MPF commands
INFO: converting 'fixup protocol xdmcp 177' to MPF commands
Type help or '?' for a list of available commands.
OZ-PIX> |
使用ASDM配置PIX
完成以下步驟,以便透過ASDM GUI進行配置:
-
從工作站10.1.1.5,打開Web瀏覽器以使用ADSM(本示例中為https://10.1.1.1)。
-
在提示證書時,按一下yes。
-
使用啟用密碼(如先前配置)登入。
-
如果這是ASDM第一次在PC上運行,系統將提示您使用ASDM啟動程式或ASDM作為Java應用。在本示例中,選擇並安裝了ASDM Launcher。
-
轉到ASDM主窗口並按一下Configuration。
-
選擇Interface > Edit以配置外部介面。
-
輸入介面詳細資料,並在完成後按一下OK。
-
按一下Security Level Change對話方塊上的OK。
-
按一下Apply接受介面配置。該配置也會被推送到PIX上。
-
選擇Features頁籤上的Security Policy以複查使用的安全策略規則。在本示例中,使用了預設內部規則。
-
本示例中使用NAT。取消選中Enable traffic through the firewall without address translation覈取方塊並按一下Add以配置NAT規則。
-
配置源網路。在本示例中,IP地址為10.0.0.0,掩碼為255.0.0.0。
按一下Manage Pools以定義NAT池地址。
-
選擇外部介面並按一下Add。
-
在本示例中,配置了Range和PAT地址池。配置範圍NAT池地址並按一下OK。
-
在步驟13中選擇外部介面以配置PAT地址。按一下OK
按一下OK以繼續。
-
在Edit Address Translation Rule窗口中,選擇要由配置的源網路使用的池ID。按一下「OK」(確定)。
-
按一下Apply以將配置的NAT規則推送到PIX。
-
本例中使用了靜態路由。按一下Routing,選擇Static Route,然後按一下Add。
-
配置預設網關並按一下OK。
-
按一下Add以將路由增加到網路內部。
-
確認配置的路由正確,然後按一下Apply。
使用CLI配置PIX
透過ASDM GUI的配置現已完成。
您可透過CLI看到此組態:
| PIX安全裝置CLI |
|---|
pixfirewall(config)#write terminal PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security-level 0 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet1 nameif inside security-level 100 ip address 10.1.1.1 255.255.255.0 !--- Assign name and IP address to the interfaces enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat-control !--- Enforce a strict NAT for all the traffic through the Security appliance global (outside) 1 172.16.1.5-172.16.1.10 netmask 255.255.255.0 !--- Define a pool of global addresses 172.16.1.5 to 172.16.1.10 with !--- NAT ID 1 to be used for NAT global (outside) 1 172.16.1.4 netmask 255.255.255.0 !--- Define a single IP address 172.16.1.4 with NAT ID 1 to be used for PAT nat (inside) 1 10.0.0.0 255.0.0.0 !--- Define the inside networks with same NAT ID 1 used in the global command for NAT route inside 10.3.1.0 255.255.255.0 10.1.1.3 1 route inside 10.2.1.0 255.255.255.0 10.1.1.2 1 !--- Configure static routes for routing the packets towards the internal network route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 !--- Configure static route for routing the packets towards the Internet (or External network) timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable !--- Enable the HTTP server on PIX for ASDM access http 10.1.1.5 255.255.255.255 inside !--- Enable HTTP access from host 10.1.1.5 to configure PIX using ASDM (GUI) ! !--- Output suppressed ! ! Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5 : end |
選擇File > Show Running Configuration in New Window以在ASDM中檢視CLI配置。
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
疑難排解指令
輸出直譯器工具(僅供註冊客戶使用) (OIT)支援某些show指令。使用OIT檢視對show命令輸出的分析。
附註:使用 debug 指令之前,請先參閱有關 Debug 指令的重要資訊。
-
debug icmp trace -顯示來自主機的ICMP請求是否到達PIX。要運行此調試,需要增加access-list命令,在您的配置中允許ICMP。
-
logging buffer debugging -顯示已建立和拒絕的透過PIX到主機的連線。資訊儲存在PIX日誌緩衝區中,使用show log命令可檢視輸出。
疑難排解程序
ASDM可用於啟用日誌記錄以及檢視日誌:
-
選擇Configuration > Properties > Logging > Logging Setup,選中Enable Logging,然後按一下Apply。
-
選擇Monitoring > Logging > Log Buffer > Logging Level,並從下拉選單中選擇Logging Buffer。按一下檢視。
-
以下是日誌緩衝區的示例:
無法按名稱訪問網站
在某些情況下,內部網路無法在Web瀏覽器中使用名稱(與IP地址一起使用)訪問Internet網站。此問題很常見,通常在未定義DNS伺服器時發生,特別是在PIX/ASA是DHCP伺服器的情況下。此外,如果PIX/ASA無法推送DNS伺服器或DNS伺服器無法訪問,也會出現這種情況。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
27-Jan-2005 |
初始版本 |
意見