trois réseaux internes Configuration PIX avec trois réseaux internes ccnp_cch

Sommaire • Configuration • Résolution de problèmes • Introduction - Composants utilisés • Configuration - Schéma du réseau - Configurations • Résolution de problèmes - Commandes pour résolution de problèmes ccnp_cch

Introduction Configuration Composants utilisés ccnp_cch Ce document fournit un exemple qui montre comment configurer le Cisco Secure PIX Firewall avec l'utilisation de trois réseaux internes. Par souci de simplification, des routes statiques sont utilisées sur les routeurs. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes : ● IOS Cisco Release 12.0. ● PIX 520 avec PIX software 5.1.2 ● Routeur Cisco 2500 Configuration Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Schéma du réseau Note: La passerelle par défaut sur les hosts du réseau 10.1.1.0 pointe vers le Routeur A. Nous avons ajouté une route par défaut sur le Routeur B qui pointe vers le Routeur A. Le Routeur A a une route par défaut qui pointe vers l'interface interne du PIX. Réseau 10.2.1.0/24 Routeur A 209.165.200.224/27 .2 PIX .225 .226 10.1.1.0/24 .3 Routeur B Réseau 10.3.1.0/24 Station 10.1.1.5/24 ccnp_cch 10.1.1.0/24

Configurations ccnp_cch Routeur A RouteurA#show running config Building configuration... Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password−encryption hostname RouteurA enable password cisco memory−size iomem 25 ip subnet−zero interface Ethernet1 ip address 10.2.1.1 255.255.255.0 no ip directed−broadcast interface Ethernet0 ip address 10.1.1.2 255.255.255.0 no ip route−cache ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.3.1.0 255.255.255.0 10.1.1.3 no ip http server line con 0 transport input none line aux 0 line vty 0 4 password ww login end ccnp_cch

ccnp_cch Routeur B RouteurB#show running config Building configuration... Current configuration: ! version 12.0 no service pad service timestamps debug uptime service timestamps log uptime no service password−encryption hostname RouteurB ip subnet−zero no ip domain−lookup interface Ethernet1 ip address 10.3.1.1 255.255.255.0 no ip directed−broadcast interface Ethernet0 ip address 10.1.1.3 255.255.255.0 no cdp enable no ip http server ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.2 line con 0 transport input none stopbits 1 line vty 0 4 password cisco login end ccnp_cch

ccnp_cch PIX pixfirewall(config)#write terminal Building configuration... : Saved : PIX Version 5.1(2) nameif ethernet0 outside security0 nameif ethernet1 inside security100 nameif ethernet2 pix/intf2 security10 enable password 8Ry2YjIyt7RRXU24 encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname pixfirewall fixup protocol ftp 21 fixup protocol http 80 fixup protocol h323 1720 fixup protocol rsh 514 fixup protocol smtp 25 fixup protocol sqlnet 1521 names pager lines 24 logging on no logging timestamp no logging standby no logging console no logging monitor no logging buffered no logging trap no logging history logging facility 20 logging queue 512 interface ethernet0 auto interface ethernet1 auto interface ethernet2 auto shutdown mtu outside 1500 mtu inside 1500 mtu pix/intf2 1500 ip address outside 209.165.200.225 255.255.255.224 ip address inside 10.1.1.1 255.255.255.0 ip address pix/intf2 127.0.0.1 255.255.255.255 no failover failover timeout 0:00:00 failover ip address outside 0.0.0.0 failover ip address inside 0.0.0.0 failover ip address pix/intf2 0.0.0.0 arp timeout 14400 global (outside) 1 209.165.200.228−209.165.200.254 netmask 255.255.255.224 global (outside) 1 209.165.200.227 nat (inside) 1 10.0.0.0 255.0.0.0 0 0 ccnp_cch

Résolution de problèmes route inside 10.2.1.0 255.255.255.0 10.1.1.2 1 route inside 10.3.1.0 255.255.255.0 10.1.1.3 1 route outside 0.0.0.0 0.0.0.0 209.165.200.226 1 timeout xlate 3:00:00 conn 1:00:00 half−closed 0:10:00 udp 0:02:00 timeout rpc 0:10:00 h323 0:05:00 timeout uauth 0:05:00 absolute aaa−server TACACS+ protocol tacacs+ aaa−server RADIUS protocol radius no snmp−server location no snmp−server contact snmp−server community public no snmp−server enable traps floodguard enable isakmp identity hostname telnet timeout 5 terminal width 80 Cryptochecksum:683089ff33571602aefcb7a5e93e7d2b : end Résolution de problèmes Cette section fournit des informations que vous pouvez utiliser pour résoudre des pro- blèmes de configuration. Commandes pour résolution de problèmes ● debug icmp trace - Permet de savoir si les requêtes ICMP issues des hosts arrivent jusqu'au PIX. Pour activer ce debug vous devez ajouter la commande conduit permit icmp any any à la configuration du PIX. Lorsque le debugging est terminé vous devez retirer la commande conduit permit icmp any any pour éviter des pro- blèmes de sécurité. ccnp_cch