La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

trois réseaux internes

Publié parClaudette Bureau Modifié depuis plus de 5 années

Présentations similaires

Présentation au sujet: "trois réseaux internes"— Transcription de la présentation:

1 trois réseaux internes
PIX ASA 7.x - Configuration avec trois réseaux internes ccnp_cch

2 Sommaire • Configuration • Résolution de problèmes • Introduction
- Prérequis - Composants utilisés • Configuration - Schéma du réseau - Configurations • Résolution de problèmes - Commandes pour résolution de problèmes - Procédure pour résolution de problèmes ccnp_cch

3 Introduction Composants utilisés ccnp_cch
Ce document fournit un exemple de configuration de l'appliance de sécurité PIX version 7.x ou Appliance ASA (Adaptive Security Appliance) 5500 avec trois réseaux internes en utilisant l'interface ligne de commande ou l'ASDM (Adaptive Security Manager) 5.x. Des routes statiques sont utilisées par souci de simplification. Note: Quelques options dans ASDM 5.2 et suivantes peuvent apparaître différentes de celles de ASDM 5.1. Reférez-vous à la documentation de l'ASDM pour plus d'informa- tion. Prérequis Quand vous ajoutez d'autres réseaux internes derrière le pare-feu PIX, gardez ces in- formations en mémoire: ● Le PIX ne peut pas router les paquets ● Le PIX ne supporte pas d'adresses IP secondaires ● Un routeur doit être utilisé derrière le PIX pour exécuter le routage entre les réseaux existants et les nouveaux réseaux. ● La passerelle par défaut de tous les hosts doit pointer vers le routeur interne. ● Ajoutez une route par défaut sur le routeur qui point vers le PIX. ● Effacez le cache ARP (Address Resolution Protocol) du routeur interne. Composants utilisés Les informations présentées dans ce document sont basées sur les versions logicielles et matérielles suivantes: ● PIX Security Appliance 515E avec logiciel version 7.1 ● ASDM 5.1 ● Routeurs Cisco avec IOS Cisco Release 12.3(7)T Note: Bien que la configuration présentée dans ce document ait été testée avec un PIX, elle est également compatible avec l'ASA 5500. ccnp_cch

4 Configuration ccnp_cch
Dans cette section sont présentées les informations nécessaires à la configuration des fonctionnalités décrites dans ce document. Les adresses IP utilisées dans cette configuration ne sont pas routables sur Internet. Ce sont des adresses du RFC 1918 utilisées dans un environnement de test. Schéma du réseau Routeur A .2 Réseau /24 /24 /24 .1 .1 .2 Réseau /24 .3 /24 Routeur B La passerelle par défaut des hosts sur le réseau pointe vers le routeur A. Une route par défaut sur le routeur B est ajoutée et point vers le routeur A. Le routeur A a une route par défaut qui pointe sur l'interface interne du PIX. Configurations Ce document contient les configurations suivantes: ● Configuration du Routeur A ● Configuration du Routeur B ● Configuration du PIX Security Appliance 7.1 ccnp_cch

5 ccnp_cch Configuration avec la CLI Routeur A
RouterA#show running−config Building configuration... Current configuration : 1151 bytes ! version 12.3 service config service timestamps debug uptime service timestamps log uptime no service password−encryption hostname RouterA interface Ethernet2/0 ip address half−duplex interface Ethernet2/1 ip address ip classless ip route ip route line con 0 line aux 0 line vty 0 4 end RouterA# ccnp_cch

6 ccnp_cch Routeur B RouterB#show running−config
Building configuration... Current configuration : 1132 bytes ! version 12.3 service config service timestamps debug datetime msec service timestamps log datetime msec no service password−encryption hostname RouterB interface FastEthernet0/0 ip address speed auto interface Ethernet1/0 ip address half−duplex ip classless ip route control−plane line con 0 line aux 0 line vty 0 4 end RouterB# Si vous voulez utiliser l'ASDM pour la configuration de l'appliance de sécurité PIX mais que vous n'avez pas démarré l'équipement, exécutez ces étapes: 1. Connectez-vous sur le PIX avec la console. 2. A partir d'une configuration vide, utilisez le prompt interactif pour permettre la ges- tion du PIX avec l'ASDM à partir de la station ccnp_cch

7 PIX Security Appliance 7.1
Pre−configure Firewall now through interactive prompts [yes]? yes Firewall Mode [Routed]: Enable password [<use current password>]: cisco Allow password recovery [yes]? Clock (UTC): Year [2005]: Month [Mar]: Day [15]: Time [05:40:35]: 14:45:00 Inside IP address: Inside network mask: Host name: OZ−PIX Domain name: cisco.com IP address of host running Device Manager: The following configuration will be used: Enable password: cisco Allow password recovery: yes Clock (UTC): 14:45:00 Mar Firewall Mode: Routed Use this configuration and write to flash? yes INFO: Security level for "inside" set to 100 by default. Cryptochecksum: a0bff9bb aa3d815f c9fd269a 3f67fef5 965 bytes copied in secs INFO: converting 'fixup protocol dns maximum−length 512' to MPF commands INFO: converting 'fixup protocol ftp 21' to MPF commands INFO: converting 'fixup protocol h323_h ' to MPF commands INFO: converting 'fixup protocol h323_ras 1718−1719' to MPF INFO: converting 'fixup protocol netbios 137−138' to MPF INFO: converting 'fixup protocol rsh 514' to MPF commands INFO: converting 'fixup protocol rtsp 554' to MPF commands INFO: converting 'fixup protocol sip 5060' to MPF commands INFO: converting 'fixup protocol skinny 2000' to MPF commands INFO: converting 'fixup protocol smtp 25' to MPF commands INFO: converting 'fixup protocol sqlnet 1521' to MPF commands INFO: converting 'fixup protocol sunrpc_udp 111' to MPF INFO: converting 'fixup protocol tftp 69' to MPF commands INFO: converting 'fixup protocol sip udp 5060' to MPF commands INFO: converting 'fixup protocol xdmcp 177' to MPF commands Type help or '?' for a list of available commands. OZ−PIX> ccnp_cch

8 Démarrage de l'ASDM 5.1 et configuration avec l'interface graphique
1. Sur la station , ouvrez votre navigateur web pour utiliser l'ASDM. (dans cet exemple Cliquez sur yes pour le prompt du certificat Login avec le mot de passe configuré précédemment Si c'est la première fois que l'ASDM est lancé sur le PC, on vous demande d'utiliser ASDM Launcher ou l'ASDM comme applet Java. Dans cet exemple, ASDM Launcher a été choisi et installé Allez à la fenêtre ASDM Home et cliquez su Configuration. ccnp_cch

9 6. Choisissez Interface> Edit pour configurer l'interface externe.
ccnp_cch

10 7. Entrez les détails sur l'interface et cliquez sur Ok quand cela est fait.
8. Cliquez sur Ok sur la boîte de dialogue Security Level Change. ccnp_cch

11 9. Cliquez Apply pour accepter la configuration de cette interface
9. Cliquez Apply pour accepter la configuration de cette interface. La configuration va être également transmise au PIX. ccnp_cch

12 10. Choisissez Security Policy sur les boutons de fonctions pour revoir la règle de poli tique de sécurité utilisée. Dans cet exemple, la règle par défaut interne est utilisée. ccnp_cch

13 11. Dans cet exemple Nat est utilisé
11. Dans cet exemple Nat est utilisé. Choisissez NAT dans les boutons de fonctions . Décochez Enable traffic through the firewall without address translation et cliquez sur Add pour configurer la règle NAT. ccnp_cch

14 12. Configurer le réseau source. dans cet exemple, 10
12. Configurer le réseau source. dans cet exemple, est utilisé pour l'adresse IP et est utilisé pour le masque. Cliquez sur Managed Pools pour définir le pool d'adresses NAT. ccnp_cch

15 ccnp_cch 13. Sélectionnez l'interface externe et cliquez sur Add.
14. Dans cet exemple, un intervalle et un pool d'adresses PAT sont configurés. Configurez l'intervalle d'adresses du pool Nat et cliquez sur Ok. ccnp_cch

16 15. Sélectionnez l'interface externe de l'étape 13 pour configurer l'adresse PAT.
Cliquez sur Ok. Cliquez sur Ok pour continuer ccnp_cch

17 16. Sur la fenêtre Edit Address Translation Rule, sélectionnez le Pool ID qui doit être utilisé par le réseau source configuré. Cliquez sur Ok. ccnp_cch

18 17. Cliquez sur Apply pour que la configuration NAT soit transmise au PIX.
ccnp_cch

19 18. Des routes statiques sont utilisées dans cet exemple
18. Des routes statiques sont utilisées dans cet exemple. Dans les boutons de fonctions cliquez sur Routing et choisissez Static Route puis cliquez sur Add. 19. Configurez la passerelle par défaut puis cliquez sur Ok. ccnp_cch

20 20. Cliquez sur Add dans la fenêtre principale et ajoutez les routes vers les réseaux
internes. ccnp_cch

21 PIX Security Appliance 7.1
21. Vérifiez que les routes configurées sont correctes puis cliquez sur Apply. La configuration via l'ASDM est maintenant terminée. Vous pouvez voir cette configuration via la CLI PIX Security Appliance 7.1 pixfirewall(config)#write terminal PIX Version 7.0(0)102 names ! interface Ethernet0 nameif outside security−level 0 ip address interface Ethernet1 nameif inside security−level 100 ip address enable password 2KFQnbNIdI.2KYOU encrypted passwd 2KFQnbNIdI.2KYOU encrypted hostname OZ−PIX domain−name cisco.com ftp mode passive pager lines 24 mtu inside 1500 ccnp_cch

22 ccnp_cch mtu outside 1500 no failover monitor−interface inside
monitor−interface outside asdm image flash:/asdmfile.50073 no asdm history enable arp timeout 14400 nat−control global (outside) − netmask global (outside) netmask nat (inside) route inside route inside route outside timeout xlate 3:00:00 timeout conn 1:00:00 half−closed 0:10:00 udp 0:02:00 icmp 0:00:02 sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp−pat 0:05:00 sip 0:30:00 sip_media 0:02:00 timeout uauth 0:05:00 absolute http server enable http inside no snmp−server location no snmp−server contact snmp−server enable traps snmp telnet timeout 5 ssh timeout 5 console timeout 0 ! class−map inspection_default match default−inspection−traffic policy−map asa_global_fw_policy class inspection_default inspect dns maximum−length 512 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp service−policy asa_global_fw_policy global Cryptochecksum:a0bff9bbaa3d815fc9fd269a3f67fef5 : end ccnp_cch

23 Résolution de problèmes
Choisissez File>Show Running Configuration in New Window pour voir la configura- tion CLI dans l'ASDM. Résolution de problèmes Commandes pour résolution de problèmes ● debug icmp trace - Affiche les requêtes ICMP des hosts qui arrivent au PIX. Afin de pouvoir exécuter ce debug, vous devez ajouter une liste-d'accès pour autoriser ICMP dans votre configuration. ● logging buffer debugging - Affiche les connexions qui sont établies et refusées aux hosts et passent par le PIX. L'information est stockée dans le buffer de log du PIX et vous pouvez le voir avec la commande show log. ccnp_cch

24 Procédure pour résolution de problèmes
L'ASDM peut être utilisé pour valider le logging et aussi pour voir les logs Choisissez Configuration>Properties> Logging Setup, cochez Enable Logging et cliquez sur Apply. ccnp_cch

25 2. Choisissez Monitoring>Logging>Log Buffer>Logging Level et sélectionnez Log Buffer dans la liste. 3. Voici un exemple de Log Buffer. ccnp_cch

Télécharger ppt "trois réseaux internes"

Présentations similaires

Effacer la Configuration LWAPP sur un LAP

Effacer la Configuration LWAPP sur un LAP
TP Sécurité - Sécuriser l’accès d’administration en utilisant

TP Sécurité - Sécuriser l’accès d’administration en utilisant
Client VPN SSL avec ASDM

Client VPN SSL avec ASDM
Catalyst 500E - Réinitialisation avec les Paramètres usine

Catalyst 500E - Réinitialisation avec les Paramètres usine
Sécurité - Configuration du PIX avec un seul réseau interne

Sécurité - Configuration du PIX avec un seul réseau interne
Sécurité - ASA - Configuration VPN SSL sans client avec ASDM

Sécurité - ASA - Configuration VPN SSL sans client avec ASDM
Client léger VPN SSL avec ASDM

Client léger VPN SSL avec ASDM
Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.

Sécurité - ASA/PIX 7.x - Adresse IP statique pour Client VPN IPSec avec configuration CLI et ASDM ccnp_cch.
Remote Desktop Protocol l'Appliance de Sécurité

Remote Desktop Protocol l'Appliance de Sécurité
Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in VNC pour utilisation dans WebVPN
Sécurité - Configuration d'un

Sécurité - Configuration d'un
TP Sécurité - Configuration de Base d'un Routeur avec SDM

TP Sécurité - Configuration de Base d'un Routeur avec SDM
Configuration du PIX/ASA Authentification étendue

Configuration du PIX/ASA Authentification étendue
Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN

Sécurité - ASA8.x - Import du Plug-in RDP pour utilisation dans WebVPN
Configurer NAT et PAT statique pour support d'un serveur Web interne

Configurer NAT et PAT statique pour support d'un serveur Web interne
Sécurité - Cisco ASA Outil de capture WebVPN

Sécurité - Cisco ASA Outil de capture WebVPN
Registre de Configuration (Configuration Register)

Registre de Configuration (Configuration Register)
Commande ip nat service

Commande ip nat service
Sécurité - Configuration du PIX

Sécurité - Configuration du PIX
Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Sécurité - Configuration NTP sur le PIX avec ou sans Tunnel IPSec

Présentations similaires

Annonces Google