trois réseaux internes PIX ASA 7.x - Configuration avec trois réseaux internes ccnp_cch
Sommaire • Configuration • Résolution de problèmes • Introduction - Prérequis - Composants utilisés • Configuration - Schéma du réseau - Configurations • Résolution de problèmes - Commandes pour résolution de problèmes - Procédure pour résolution de problèmes ccnp_cch
Introduction Composants utilisés ccnp_cch Ce document fournit un exemple de configuration de l'appliance de sécurité PIX version 7.x ou Appliance ASA (Adaptive Security Appliance) 5500 avec trois réseaux internes en utilisant l'interface ligne de commande ou l'ASDM (Adaptive Security Manager) 5.x. Des routes statiques sont utilisées par souci de simplification. Note: Quelques options dans ASDM 5.2 et suivantes peuvent apparaître différentes de celles de ASDM 5.1. Reférez-vous à la documentation de l'ASDM pour plus d'informa- tion. Prérequis Quand vous ajoutez d'autres réseaux internes derrière le pare-feu PIX, gardez ces in- formations en mémoire: ● Le PIX ne peut pas router les paquets ● Le PIX ne supporte pas d'adresses IP secondaires ● Un routeur doit être utilisé derrière le PIX pour exécuter le routage entre les réseaux existants et les nouveaux réseaux. ● La passerelle par défaut de tous les hosts doit pointer vers le routeur interne. ● Ajoutez une route par défaut sur le routeur qui point vers le PIX. ● Effacez le cache ARP (Address Resolution Protocol) du routeur interne. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● PIX Security Appliance 515E avec logiciel version 7.1 ● ASDM 5.1 ● Routeurs Cisco avec IOS Cisco Release 12.3(7)T Note: Bien que la configuration présentée dans ce document ait été testée avec un PIX, elle est également compatible avec l'ASA 5500. ccnp_cch
Configuration ccnp_cch Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Les adresses IP utilisées dans cette configuration ne sont pas routables sur Internet. Ce sont des adresses du RFC 1918 utilisées dans un environnement de test. Schéma du réseau Routeur A .2 Réseau 10.2.1.0/24 172.16.1.0/24 10.1.1.0/24 .1 .1 .2 Réseau 10.3.1.0/24 .3 10.1.1.5/24 Routeur B La passerelle par défaut des hosts sur le réseau 101.1.0 pointe vers le routeur A. Une route par défaut sur le routeur B est ajoutée et point vers le routeur A. Le routeur A a une route par défaut qui pointe sur l'interface interne du PIX. Configurations Ce document contient les configurations suivantes: ● Configuration du Routeur A ● Configuration du Routeur B ● Configuration du PIX Security Appliance 7.1 ccnp_cch
ccnp_cch Configuration avec la CLI Routeur A RouterA#show running−config Building configuration... Current configuration : 1151 bytes ! version 12.3 service config service timestamps debug uptime service timestamps log uptime no service password−encryption hostname RouterA interface Ethernet2/0 ip address 10.2.1.1 255.255.255.0 half−duplex interface Ethernet2/1 ip address 10.1.1.2 255.255.255.0 ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.1 ip route 10.3.1.0 255.255.255.0 10.1.1.3 line con 0 line aux 0 line vty 0 4 end RouterA# ccnp_cch
ccnp_cch Routeur B RouterB#show running−config Building configuration... Current configuration : 1132 bytes ! version 12.3 service config service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname RouterB interface FastEthernet0/0 ip address 10.1.1.3 255.255.255.0 speed auto interface Ethernet1/0 ip address 10.3.1.1 255.255.255.0 half−duplex ip classless ip route 0.0.0.0 0.0.0.0 10.1.1.2 control−plane line con 0 line aux 0 line vty 0 4 end RouterB# Si vous voulez utiliser l'ASDM pour la configuration de l'appliance de sécurité PIX mais que vous n'avez pas démarré l'équipement, exécutez ces étapes: 1. Connectez-vous sur le PIX avec la console. 2. A partir d'une configuration vide, utilisez le prompt interactif pour permettre la ges- tion du PIX avec l'ASDM à partir de la station 10.1.1.5. ccnp_cch
PIX Security Appliance 7.1 Pre−configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: 10.1.1.1 Inside network mask: 255.255.255.0 Host name: OZ−PIX Domain name: cisco.com IP address of host running Device Manager: 10.1.1.5 The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar 15 2005 Firewall Mode: Routed Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in 0.880 secs INFO: converting 'fixup protocol dns maximum−length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h225 1720' to MPF commands INFO: converting 'fixup protocol h323_ras 1718−1719' to MPF INFO: converting 'fixup protocol netbios 137−138' to MPF INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. OZ−PIX> ccnp_cch
Démarrage de l'ASDM 5.1 et configuration avec l'interface graphique 1. Sur la station 10.1.1.5, ouvrez votre navigateur web pour utiliser l'ASDM. (dans cet exemple http://10.1.1.1). 2. Cliquez sur yes pour le prompt du certificat. 3. Login avec le mot de passe configuré précédemment. 4. Si c'est la première fois que l'ASDM est lancé sur le PC, on vous demande d'utiliser ASDM Launcher ou l'ASDM comme applet Java. Dans cet exemple, ASDM Launcher a été choisi et installé. 5. Allez à la fenêtre ASDM Home et cliquez su Configuration. ccnp_cch
6. Choisissez Interface> Edit pour configurer l'interface externe. ccnp_cch
7. Entrez les détails sur l'interface et cliquez sur Ok quand cela est fait. 8. Cliquez sur Ok sur la boîte de dialogue Security Level Change. ccnp_cch
9. Cliquez Apply pour accepter la configuration de cette interface 9. Cliquez Apply pour accepter la configuration de cette interface. La configuration va être également transmise au PIX. ccnp_cch
10. Choisissez Security Policy sur les boutons de fonctions pour revoir la règle de poli- tique de sécurité utilisée. Dans cet exemple, la règle par défaut interne est utilisée. ccnp_cch
11. Dans cet exemple Nat est utilisé 11. Dans cet exemple Nat est utilisé. Choisissez NAT dans les boutons de fonctions . Décochez Enable traffic through the firewall without address translation et cliquez sur Add pour configurer la règle NAT. ccnp_cch
12. Configurer le réseau source. dans cet exemple, 10 12. Configurer le réseau source. dans cet exemple, 10.0.0.0 est utilisé pour l'adresse IP et 255.0.0.0 est utilisé pour le masque. Cliquez sur Managed Pools pour définir le pool d'adresses NAT. ccnp_cch
ccnp_cch 13. Sélectionnez l'interface externe et cliquez sur Add. 14. Dans cet exemple, un intervalle et un pool d'adresses PAT sont configurés. Configurez l'intervalle d'adresses du pool Nat et cliquez sur Ok. ccnp_cch
15. Sélectionnez l'interface externe de l'étape 13 pour configurer l'adresse PAT. Cliquez sur Ok. Cliquez sur Ok pour continuer ccnp_cch
16. Sur la fenêtre Edit Address Translation Rule, sélectionnez le Pool ID qui doit être utilisé par le réseau source configuré. Cliquez sur Ok. ccnp_cch
17. Cliquez sur Apply pour que la configuration NAT soit transmise au PIX. ccnp_cch
18. Des routes statiques sont utilisées dans cet exemple 18. Des routes statiques sont utilisées dans cet exemple. Dans les boutons de fonctions cliquez sur Routing et choisissez Static Route puis cliquez sur Add. 19. Configurez la passerelle par défaut puis cliquez sur Ok. ccnp_cch
20. Cliquez sur Add dans la fenêtre principale et ajoutez les routes vers les réseaux internes. ccnp_cch
PIX Security Appliance 7.1 21. Vérifiez que les routes configurées sont correctes puis cliquez sur Apply. La configuration via l'ASDM est maintenant terminée. Vous pouvez voir cette configuration via la CLI PIX Security Appliance 7.1 pixfirewall(config)#write terminal PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security−level 0 ip address 172.16.1.1 255.255.255.0 interface Ethernet1 nameif inside security−level 100 ip address 10.1.1.1 255.255.255.0 enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname OZ−PIX domain−name cisco.com ftp mode passive pager lines 24 mtu inside 1500 ccnp_cch
ccnp_cch mtu outside 1500 no failover monitor−interface inside monitor−interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat−control global (outside) 1 172.16.1.5−172.16.1.10 netmask 255.255.255.0 global (outside) 1 172.16.1.4 netmask 255.255.255.0 nat (inside) 1 10.0.0.0 255.0.0.0 route inside 10.3.1.0 255.255.255.0 10.1.1.3 1 route inside 10.2.1.0 255.255.255.0 10.1.1.2 1 route outside 0.0.0.0 0.0.0.0 172.16.1.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http 10.1.1.5 255.255.255.255 inside no snmp−server location no snmp−server contact snmp−server enable traps snmp telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map asa_global_fw_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy asa_global_fw_policy global Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5 : end ccnp_cch
Résolution de problèmes Choisissez File>Show Running Configuration in New Window pour voir la configura- tion CLI dans l'ASDM. Résolution de problèmes Commandes pour résolution de problèmes ● debug icmp trace - Affiche les requêtes ICMP des hosts qui arrivent au PIX. Afin de pouvoir exécuter ce debug, vous devez ajouter une liste-d'accès pour autoriser ICMP dans votre configuration. ● logging buffer debugging - Affiche les connexions qui sont établies et refusées aux hosts et passent par le PIX. L'information est stockée dans le buffer de log du PIX et vous pouvez le voir avec la commande show log. ccnp_cch
Procédure pour résolution de problèmes L'ASDM peut être utilisé pour valider le logging et aussi pour voir les logs. 1. Choisissez Configuration>Properties> Logging Setup, cochez Enable Logging et cliquez sur Apply. ccnp_cch
2. Choisissez Monitoring>Logging>Log Buffer>Logging Level et sélectionnez Log Buffer dans la liste. 3. Voici un exemple de Log Buffer. ccnp_cch