pix firewall estude ccna

professional wordpress themes

Estude CCNACompartilhando idéias e Experiências

PostsGroupsHDExercíciosEu SOU CCNAVídeo-aulasContato

Conheça um Roteador e um Switch Cisco por dentro Configuração Básica do Roteador usandoSDM

LAB: Configuração do PIX Firewall

On 9 de julho de 2011, in Laboratórios, Tutoriais, by emersonmeh

Tutorial completo com passo a passo e troubleshooting de todas as configurações feitas.

Print PDF

Neste tutorial, é possivel configurar e efetuar o troubleshooting de todas as configurações queserão feitas. O Tutorial não foi feito por mim, o crédito é do Profº Aurio Tenório que ministra amatéria de Laboratório de Redes no Centro Universitário SENAC.Efetuei toda a configuração utilizando o GNS3.

Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender )de aprender como efetuar uma configuração básica do Firewall PIX.

Façam bom proveito !!!

LAB: Configuração do PIX Firewall | Estude CCNA http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

1 de 21 29/04/2012 21:20

Lab. – Configuração básica do PIX

Objetivos:- Executar comandos de checagem- Configurar as interfaces do security appliance- Criar um pool global de globais e configurar NAT- Configurar roteamento através do appliance- Testar a conectividade das interfaces inside, outside e DMZ- Direcionar o log de eventos para um servidor syslog

Topologia

LaboratórioTarefa 1: Comandos geraisComplete os passos seguintes para se familiarizar com os comandos iniciais de checagem econfiguração. Fique bastante atento para interpretar corretamente o resultado dos comandos erequisite o auxílio do professor para sanar as dúvidas.

——————————————————————————–1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt de usuário.Neste prompt, apenas alguns comandos de checagem podem ser executados. Você nãoconsegue configurar o device neste prompt.

pixfirewall>

——————————————————————————–2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação.

pixfirewall> ?

clear Reset functionsenable Turn on privileged commandsexit Exit from the EXEChelp Interactive help for commandslogin Log in as a particular userlogout Exit from the EXECping Send echo messagesquit Exit from the EXEC


2 de 21 29/04/2012 21:20

show Show running system informationtraceroute Trace route to destination

——————————————————————————–3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha(password), apenas tecle Enter.

pixfirewall> enablepassword:pixfirewall#

——————————————————————————–4. Exiba a lista de comandos do prompt privilegiado.DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) para cancelar oresultado da saída.

pixfirewall# ?

aaa-server Specify a AAA serveractivation-key Modify activation-keyasdm Disconnect a specific ASDM sessionblocks Set block diagnostic parameterscapture Capture inbound and outbound packets on one ormore interfacescd Change current directoryclear Reset functionsclient-update Execute client updates on all or specifictunnel-groupsclock Manage the system clockconfigure Configure using various methodscopy Copy from one file to anothercpu general CPU stats collection toolscrashinfo Crash informationcrypto Execute crypto Commandsdebug Debugging functions (see also ‘undebug’)delete Delete a filedir List files on a filesystemdisable Exit from privileged modedowngrade Downgrade the file system and rebootdynamic-access-policy-config Activates the DAP selection configuration file.eou EAPoUDPerase Erase a filesystem

…

——————————————————————————–5. O comando show running-config mostra a configuração corrente sendo executada pelodevice.DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar oscomandos.

pixfirewall# show running-config (show run): Saved:


3 de 21 29/04/2012 21:20

PIX Version 8.0(3)!hostname pixfirewallenable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0shutdownno nameifno security-levelno ip address!interface Ethernet1shutdownno nameifno security-levelno ip address!…!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect rshinspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftp!service-policy global_policy globalprompt hostname contextCryptochecksum:8155ed0f27cc702c56ac2f6a39becc99: end

——————————————————————————–6. Execute o comando show version para identificar as capacidades do device e o tipo delicença do software. Este comando mostra também a quantidade de memória que o devicepossui, o número de interfaces, assim como a versão do PixOS sendo executada.


4 de 21 29/04/2012 21:20

pixfirewall# show version

Cisco PIX Security Appliance Software Version 8.0(3)

Compiled on Tue 06-Nov-07 19:50 by buildersSystem image file is “Unknown, monitor mode tftp booted image”Config file at boot was “startup-config”

pixfirewall up 3 mins 24 secs

Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHzFlash E28F128J3 @ 0xfff00000, 16MBBIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: Ext: Ethernet0 : address is 0000.ab85.8e00, irq 91: Ext: Ethernet1 : address is 0000.ab85.8e01, irq 112: Ext: Ethernet2 : address is 0000.ab85.8e02, irq 113: Ext: Ethernet3 : address is 0000.abcd.ef03, irq 114: Ext: Ethernet4 : address is 0000.abcd.ef04, irq 11

Licensed features for this platform:Maximum Physical Interfaces : 10Maximum VLANs : 100Inside Hosts : UnlimitedFailover : Active/ActiveVPN-DES : EnabledVPN-3DES-AES : EnabledCut-through Proxy : EnabledGuards : EnabledURL Filtering : EnabledSecurity Contexts : 2GTP/GPRS : DisabledVPN Peers : Unlimited

This platform has an Unrestricted (UR) license.

Serial Number: 808062467Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084Configuration has not been modified since last system restart.

——————————————————————————–7. O comando show history mostra o histórico de comandos executados.

pixfirewall# show historyenableshow running-configshow versionshow history

——————————————————————————–8. Qualquer configuração deve ser executada a partir do prompt de configuração global. Entreneste prompt com o comando configure terminal e configure o hostname do PIX paraFIREWALL1.

pixfirewall# configure terminal


5 de 21 29/04/2012 21:20

pixfirewall(config)# hostname FIREWALL1FIREWALL1(config)#

——————————————————————————–9. A feature names permite que você atribua nomes aos devices ao invés de referenciar seusendereços IP. Para usar essa feature, você precisa ativá-la com o comando names.

FIREWALL1(config)# names

——————————————————————————–10. Atribua o nome bastionhost para o servidor web na DMZ.

FIREWALL1(config)# name 172.16.1.10 bastionhost

——————————————————————————–11. Atribua o nome insidehost para o PC da rede interna.

FIREWALL1(config)# name 10.0.1.3 insidehost

——————————————————————————–12. Salve suas configurações para a memória flash.

FIREWALL1(config)# write memoryBuilding configuration…Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56

1902 bytes copied in 1.30 secs (1902 bytes/sec)[OK]

——————————————————————————–Tarefa 2: Configuração das interfaces

13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface,no prompt de configuração global, use o comando interface mais o nome e número dainterface. Comece configurando a interface Ethernet0 (inside). Note a mudança de promptpara (config-if) sinalizando que você está configurando uma interface.

FIREWALL1(config)# interface ?

configure mode commands/options:Ethernet IEEE 802.3

FIREWALL1(config)# interface ethernet ?

configure mode commands/options:Ethernet interface numberFIREWALL1(config)# interface ethernet 0FIREWALL1(config-if)#

NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementar umcomando, ou mesmo quando estiver em dúvida quanto à palavra correta de um comando. Porexemplo, para saber quantos comandos começam com name, complemente a palavra namecom um ponto de interrogação, sem espaços, conforme ilustrado a seguir.

FIREWALL1(config-if)# name?


6 de 21 29/04/2012 21:20

interface mode commands/options:nameif

configure mode commands/options:name names

——————————————————————————–14. Cinco configurações precisam ser executadas para colocar uma interface operacional: ipaddress, speed, duplex, security-level e nameif.

IP address: Endereço IP da interface.Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, paraautonegociação).Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação.Recomendamos sempre configurar a interface para trabalhar em full-duplex.Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo de segurança e 0o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo de uma interface desecurity-level mais baixo para uma interface com security-level mais alto. Tráfego outbound(saindo) significa tráfego fluindo de uma interface com security-level mais alto para umainterface com security-level mais baixo. O tráfego nunca flui diretamente de uma interface comsecurity-level mais baixo para uma interface com security-level mais alto sem liberação explícita(access-lists). É automaticamente bloqueado pelo PIX. Além disso, interfaces com níveis desegurança iguais não são capazes de se comunicar.Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interface inside(interna) assume automaticamente o security-level 100. A interface outside (de fora) assumeautomaticamente o security-level 0. Outro nome bastante comum para uma interface é DMZ,que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso público.Qualquer interface diferente de inside assume security-level 0.Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1.Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Ao finalizar, liguea interface com o comando no shutdown.

FIREWALL1(config-if)# nameif insideINFO: Security level for “inside” set to 100 by default.FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0FIREWALL1(config-if)# speed 100FIREWALL1(config-if)# duplex fullFIREWALL1(config-if)# no shutdownFIREWALL1(config-if)# exit

——————————————————————————–15. Confira se a interface está administrativamente up e operacional.

FIREWALL1(config)# show interface eth0Interface Ethernet0 “inside”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e00, MTU 1500IP address 10.0.1.1, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops0 packets output, 0 bytes, 0 underruns


7 de 21 29/04/2012 21:20

0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/0) software (0/0)Traffic Statistics for “inside”:128 packets input, 76758 bytes0 packets output, 0 bytes128 packets dropped1 minute input rate 2 pkts/sec, 1279 bytes/sec1 minute output rate 0 pkts/sec, 0 bytes/sec1 minute drop rate, 2 pkts/sec5 minute input rate 0 pkts/sec, 0 bytes/sec5 minute output rate 0 pkts/sec, 0 bytes/sec5 minute drop rate, 0 pkts/sec

——————————————————————————–16. Confira as configurações da interface com o comando show running-config interface eth0.Diferente de um router, um pix permite a leitura de seções do arquivo de configuração.

FIREWALL1(config)# show run interface eth0!interface Ethernet0speed 100duplex fullnameif insidesecurity-level 100ip address 10.0.1.1 255.255.255.0FIREWALL1(config)#

——————————————————————————–17. Configure também as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina osecurity-level da interface eth1 em 50.

FIREWALL1(config)# interface ethernet1FIREWALL1(config-if)# nameif dmzINFO: Security level for “dmz” set to 0 by default.FIREWALL1(config-if)# security-level 50FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0FIREWALL1(config-if)# speed 100FIREWALL1(config-if)# duplex fullFIREWALL1(config-if)# no shutdownFIREWALL1(config-if)# interface eth2FIREWALL1(config-if)# nameif outsideINFO: Security level for “outside” set to 0 by default.FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0FIREWALL1(config-if)# speed 100FIREWALL1(config-if)# duplex fullFIREWALL1(config-if)# no shutdownFIREWALL1(config-if)# exit

——————————————————————————–18. Confira as configurações das interfaces.


8 de 21 29/04/2012 21:20

FIREWALL1(config)# show run interface!interface Ethernet0speed 100duplex fullnameif insidesecurity-level 100ip address 10.0.1.1 255.255.255.0!interface Ethernet1speed 100duplex fullnameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet2speed 100duplex fullnameif outsidesecurity-level 0ip address 200.0.1.1 255.255.255.0!…

——————————————————————————–19. Garanta que as interfaces estejam ativas e operacionais.

FIREWALL1(config)# show interfaceInterface Ethernet0 “inside”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e00, MTU 1500IP address 10.0.1.1, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/0) software (0/0)…Interface Ethernet1 “dmz”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e01, MTU 1500IP address 172.16.1.10, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort


9 de 21 29/04/2012 21:20

0 L2 decode drops0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/0) software (0/0)…Interface Ethernet2 “outside”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e02, MTU 1500IP address 200.0.1.1, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops1 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/1) software (0/1)

——————————————————————————–20. Você pode usar filtros para selecionar um trecho específico da saída de um comando. Porexemplo, você poderia filtrar o resultado do comando show interface para capturar as linhasque considerar mais relevantes. No exemplo abaixo, complementando o comando showinterface com pipe (|) e include foram capturadas as linhas onde aparecem as palavrasInterface ou duplex ou IP ou MAC. Chamamos a expressão entre parênteses de regex (RegularExpression).

FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC)Interface Ethernet0 “inside”, is up, line protocol is upFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab33.f500, MTU 1500IP address 10.0.1.1, subnet mask 255.255.255.0Interface Ethernet1 “dmz”, is up, line protocol is upFull-Duplex(Full-duplex), 10 Mbps(10 Mbps)MAC address 0000.ab33.f501, MTU 1500IP address 172.16.1.1, subnet mask 255.255.255.0Interface Ethernet2 “outside”, is up, line protocol is upFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab33.f502, MTU 1500IP address 200.0.1.1, subnet mask 255.255.255.0Interface Ethernet3 “”, is administratively down, line protocol is upAuto-Duplex(Full-duplex), Auto-Speed(100 Mbps)MAC address 0000.abcd.ef03, MTU not setIP address unassignedInterface Ethernet4 “”, is administratively down, line protocol is upAuto-Duplex(Full-duplex), Auto-Speed(100 Mbps)MAC address 0000.abcd.ef04, MTU not setIP address unassigned


10 de 21 29/04/2012 21:20

——————————————————————————–21. Com o comando show ip address você confere rapidamente o nome e o endereço IPconfigurado na interface.

FIREWALL1(config)# show ip addressSystem IP Addresses:Interface Name IP address Subnet mask MethodEthernet0 inside 10.0.1.1 255.255.255.0 manualEthernet1 dmz 172.16.1.1 255.255.255.0 manualEthernet2 outside 200.0.1.1 255.255.255.0 manualCurrent IP Addresses:Interface Name IP address Subnet mask MethodEthernet0 inside 10.0.1.1 255.255.255.0 manualEthernet1 dmz 172.16.1.1 255.255.255.0 manualEthernet2 outside 200.0.1.1 255.255.255.0 manual

——————————————————————————–22. Com o comando show nameif você confere rapidamente o nome e os security-levels.

FIREWALL1(config)# show nameifInterface Name SecurityEthernet0 inside 100Ethernet1 dmz 50Ethernet2 outside 0

——————————————————————————–23. Use o comando show names para checar a configuração do mapeamento de IPs paranomes.

FIREWALL1(config)# show namesname 10.0.1.3 insidehostname 172.16.1.10 bastionhost

——————————————————————————–24. DesafioConfigure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2.

——————————————————————————–25. Salve suas configurações.

FIREWALL1(config)# wrBuilding configuration…Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916

2067 bytes copied in 1.220 secs (2067 bytes/sec)[OK]FIREWALL1(config)#

——————————————————————————–Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento

26. Comece ativando a capacidade NAT.

FIREWALL1(config)# nat-control


11 de 21 29/04/2012 21:20

——————————————————————————–27. Crie um pool global de endereços quentes (válidos). Use o comando global associandoeste pool à interface outside e amarrando ao ID 1. Este pool de endereços será usado para asconexões de saída. Ao final, confira as configurações.

FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0

FIREWALL1(config)# show run globalglobal (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0

——————————————————————————–28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1para associar este NAT ao pool global criado anteriormente. Ao final, confira as configurações.

FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0

FIREWALL1(config)# show run natnat (inside) 1 10.0.1.0 255.255.255.0

NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID.

——————————————————————————–29. Agora configure uma rota default para o tráfego que sai pela interface outside usando ocomando route. O comando route chama como complemento uma interface para onde otráfego será direcionado, a rede e máscara destino e o endereço IP de próximo salto.

FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2

NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para a interfaceoutside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto o roteador RBB.Se quisesse rotear para uma subnet específica, bastaria substituir o endereço 0.0.0.0/0 peloendereço e máscara da subnet.

——————————————————————————–30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadase a rota default.

FIREWALL1(config)# show route

Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGPD – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGPi – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area* – candidate default, U – per-user static route, o – ODRP – periodic downloaded static route

Gateway of last resort is 200.0.1.2 to network 0.0.0.0

C 200.0.1.0 255.255.255.0 is directly connected, outsideC 10.0.1.0 255.255.255.0 is directly connected, insideC 172.16.1.0 255.255.255.0 is directly connected, dmzS* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside

——————————————————————————–


12 de 21 29/04/2012 21:20

31. Salve suas configurações.

FIREWALL1(config)# write memoryBuilding configuration…Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d


——————————————————————————–32. DesafioRepita o procedimento anterior de configuração e configure no FW2 um pool global deendereços, NAT inside e uma rota default. Confira as configurações.

——————————————————————————–Tarefa 4: Configuração dos roteadores

33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabilite oroteamento em R1 e R2 e configure como default gateway o endereço da interface diretamenteconectada do PIX.

Router> enableRouter# configure terminalRouter(config)# hostname R1R1(config)# interface fastethernet 0/0R1(config-if)# ip address 10.0.1.100 255.255.255.0R1(config-if)# no shutdownR1(config-if)# exitR1(config)# no ip routingR1(config)# ip default-gateway 10.0.1.1R1(config)# endR1# copy running-config startup-configDestination filename [startup-config]?Building configuration…

[OK]R1#

—————————Router> enableRouter# configure terminalRouter(config)# hostname R2R2(config)# interface fastethernet 0/0R2(config-if)# ip address 10.0.2.100 255.255.255.0R2(config-if)# no shutdownR2(config-if)# exitR2(config)# no ip routingR2(config)# ip default-gateway 10.0.2.1R2(config)# endR2# copy running-config startup-config

—————————Router> enableRouter# configure terminal


13 de 21 29/04/2012 21:20

Router(config)# hostname RBBRBB(config)# interface fastethernet 0/0RBB(config-if)# ip address 200.0.1.2 255.255.255.0RBB(config-if)# description RBB—>FW1RBB(config-if)# no shutdownRBB(config-if)# interface fastethernet 0/1RBB(config-if)# ip address 200.0.2.2 255.255.255.0RBB(config-if)# description RBB—>FW2RBB(config-if)# no shutdownRBB(config-if)# interface loopback 0RBB(config-if)# ip address 189.0.0.1 255.255.255.0RBB(config-if)# description +++Public Web Server+++RBB(config-if)# endRBB# copy running-config startup-config

——————————————————————————–Tarefa 5: Testando a conectividade

34. Um teste de conectividade bastante comum é usando pings. Vamos checar se as interfacesdo FIREWALL 1 respondem às próprias requisições ping.

FIREWALL1# ping 10.0.1.1Type escape sequence to abort.Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms



——————————————————————————–35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidorinterno FTP (insidehost)

FIREWALL1# ping insidehostType escape sequence to abort.Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms

——————————————————————————–36. Teste a conectividade com o servidor web (bastionhost).

FIREWALL1# ping bastionhostType escape sequence to abort.


14 de 21 29/04/2012 21:20

Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms

——————————————————————————–37. Teste a conectividade com R1.


——————————————————————————–38. Teste a conectividade com RBB.


——————————————————————————–39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2.


——————————————————————————–40. Vamos testar se a configuração de NAT está funcionando acessando o servidor web noendereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisição partindo deuma rede mais protegida para uma rede menos protegida, ou seja, uma requisição partindo deuma rede com security-level mais alto para uma rede com security-level mais baixo. Estaconexão TCP será totalmente rastreada pelo PIX e o tráfego de retorno será permitido semrestrições, porque o pedido de conexão TCP partiu da rede interna.Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1. Você devereceber a página web armazenada no router RBB.

——————————————————————————–41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que umendereço do pool global foi usado nesta conexão.

FIREWALL1# show xlate1 in use, 9 most usedGlobal 200.0.1.20 Local insidehost

——————————————————————————–42. Analise mais detalhadamente com o auxílio do comando show local-host.

FIREWALL1# show local-host insidehostInterface outside: 0 active, 3 maximum active, 0 denied


15 de 21 29/04/2012 21:20

Interface dmz: 0 active, 1 maximum active, 0 deniedInterface inside: 1 active, 1 maximum active, 0 deniedlocal host: ,TCP flow count/limit = 0/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimitedUDP flow count/limit = 0/unlimited

Xlate:Global 200.0.1.20 Local insidehost

——————————————————————————–43. DesafioRepita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor webexterno esteja acessível aos hosts da rede interna.

——————————————————————————–Tarefa 6: Configurando um servidor syslog

Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando no host dainside. Usaremos um servidor provido pela 3Com, o 3Com Daemon.44. Comece ativando o log de eventos no pix.

FIREWALL1(config)# logging enable

——————————————————————————–45. Identifique o servidor syslog com o comando logging host. Complemente este comandocom o nome da interface onde o servidor está localizado e o endereço ou o nome do servidor.

FIREWALL1(config)# logging host inside insidehost

——————————————————————————–46. Configure o nível das mensagens de log com o comando logging trap.

FIREWALL1(config)# logging trap ?

configure mode commands/options:Enter syslog level (0 – 7)WORD Specify the name of logging listalertscriticaldebuggingemergencieserrorsinformationalnotificationswarnings

FIREWALL1(config)# logging trap debuggingFIREWALL1(config)# show loggingSyslog logging: enabledFacility: 20Timestamp logging: disabledStandby logging: disabled


16 de 21 29/04/2012 21:20

Tweet 0 Curtir Uma pessoa curtiu isso. Seja o primeiro entre seus amigos.

Deny Conn when Queue Full: disabledConsole logging: disabledMonitor logging: disabledBuffer logging: disabledTrap logging: level debugging, facility 20, 3 messages loggedLogging to inside insidehostHistory logging: disabledDevice ID: disabledMail logging: disabledASDM logging: disabledFIREWALL1(config)#

——————————————————————————–47. Partindo de R1, dê um ping na interface inside do pix.

R1# ping 10.0.1.1!!!!!

——————————————————————————–48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings.

——————————————————————————–49. Desative o log.

FIREWALL1(config)# no logging trapFIREWALL1(config)# no logging enable


2

Print PDF

Gostou disso? Conte para todos

Related posts:

Tutorial GNS31.

Manual de Laboratórios2.

Exercícios: CCNA 1 Módulo 11 – Exploration v4.03.

About the author

emersonmeh

Visit Authors Website


17 de 21 29/04/2012 21:20

If you enjoyed this article, please consider sharing it!

Tagged with: CCNA Security • configuração • firewall • lab • pix • troubleshooting • tutorial

Profile

Sign in with Twitter Sign in with Facebookor

Name

Email Not published

Website

Comment

1 Reply1 Comment0 Tweets0 Facebook0 Pingbacks

Last reply was 272 dias ago

Daniel VieceliView 272 dias ago

Obrigado,tenho um Cisco PIX,vou tentar configurar.

Responder

1.

Page 1 of 1 1

Obrigado pela visita! Sinta-se livre para participar de discussões, deixando COMENTÁRIOS, efique atualizado, assinando o feed RSS

Comentários

Fabiano em Questões Diáriasromildo chaves gripp em Vídeo-aulasGeison em Questões Diárias

Digite as duas palavras:


18 de 21 29/04/2012 21:20

Curso

Twitter

Grupo EstudeCCNA

Participe do grupo EstudeCCNAE-mail:

Visitar este grupo

Links

Estude CCNAestudeccna

Join the conversation

bernardesrafael Participe, divulgue! Serãowebcasts rápidos, "drops de TI"facebook.com/events/2154364…4 hours ago · reply · retweet · favorite

vocesa Dica para preservar a produtividade:mantenha o cérebro satisfeito bit.ly/Io8qKY2 days ago · reply · retweet · favorite

estudeccna @ivanildogalvao muita gentefera lá - Grupo EstudeCCNA -estudeccna.com.br/grupo-de-estudo#CCNA #Cisco2 days ago · reply · retweet · favorite

estudeccna Opa, grande honra ñ deixe departicipar do grupo. RT @ivanildogalvao:@estudeccna Estou fazendo o curso na@dltec e acompanho seu blog :-)2 days ago · reply · retweet · favorite


19 de 21 29/04/2012 21:20

9tut – Exércicios PráticosBentow – Guia de estudoBrainwork's blogCCNA – Last minute revisionCurso CCNA – DlteC do BrasilDiogo FernandesExames e exercíciosGNS3-labs.comGNS3Vault LabsIPv6 CertificationsLink StateNetAcad AdvantageNetfinders BrasilNo Mundo das RedesOrganização das Executivas de TITICNICS – Redes de ComputadoresVinícius Machado

Tags

640-802 ACL carreira CCENT CCNA CCNA 2 Certificação CISCO configuração curso

Download ebook EIGRP exame exercícios Exploration v4.0 Frame Relay gratuito grátis

Internet Juniper lab laboratório livro modelo osi NAT online OSPF Packet tracer protocolo redes revisão roteador

roteadores roteamento Simulado Switch switches TCP/IP tutorial video VLSM VTP vídeo aula WAN

Painel

Registrar-seLogin id="social_login">Log inPosts RSSRSS dos comentáriosWordPress.org

American Power ConversionNobreak Apc...

Dell

10x R$ 46,00

Iomega Armazenamento DeRede Home Med...

Dell

10x R$ 70,00


20 de 21 29/04/2012 21:20

HomePostsGroupsHDExercíciosEu SOU CCNAVídeo-aulasContato

© 2010 - 2011 Estude CCNA


21 de 21 29/04/2012 21:20

estudeccna.com.br http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

LAB: Configuração do PIX FirewallOn 9 de julho de 2011, in Laboratórios, Tutoriais, byemersonmeh

Tutorial completo com passo a passo e troubleshooting detodas as configurações feitas.

Neste tutorial, é possivel configurar e efetuar o troubleshootingde todas as configurações que serão feitas. O Tutorial não foifeito por mim, o crédito é do Profº Aurio Tenório que ministra amatéria de Laboratório de Redes no Centro UniversitárioSENAC.Efetuei toda a configuração utilizando o GNS3.

Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito deaprender ) de aprender como efetuar uma configuração básica do Firewall PIX.

Façam bom proveito !!!

Lab. – Configuração básica do PIX

Objetivos:- Executar comandos de checagem- Configurar as interfaces do security appliance- Criar um pool global de globais e configurar NAT- Configurar roteamento através do appliance- Testar a conectividade das interfaces inside, outside e DMZ- Direcionar o log de eventos para um servidor syslog

Topologia

LaboratórioTarefa 1:Comandos geraisComplete ospassos seguintespara sefamiliarizar comos comandosiniciais dechecagem econfiguração.Fique bastanteatento parainterpretarcorretamente o resultado dos comandos e requisite o auxílio do professor para sanar asdúvidas.

——————————————————————————–


1 de 17 29/04/2012 21:20

1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt deusuário. Neste prompt, apenas alguns comandos de checagem podem ser executados.Você não consegue configurar o device neste prompt.

pixfirewall>

——————————————————————————–2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação.

pixfirewall> ?

clear Reset functionsenable Turn on privileged commandsexit Exit from the EXEChelp Interactive help for commandslogin Log in as a particular userlogout Exit from the EXECping Send echo messagesquit Exit from the EXECshow Show running system informationtraceroute Trace route to destination

——————————————————————————–3. Entre no modo privilegiado com o comando enable. Quando requisitado por umasenha (password), apenas tecle Enter.

pixfirewall> enablepassword:pixfirewall#

——————————————————————————–4. Exiba a lista de comandos do prompt privilegiado.DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) paracancelar o resultado da saída.

pixfirewall# ?

aaa-server Specify a AAA serveractivation-key Modify activation-keyasdm Disconnect a specific ASDM sessionblocks Set block diagnostic parameterscapture Capture inbound and outbound packets on one ormore interfacescd Change current directoryclear Reset functionsclient-update Execute client updates on all or specifictunnel-groupsclock Manage the system clockconfigure Configure using various methodscopy Copy from one file to anothercpu general CPU stats collection toolscrashinfo Crash informationcrypto Execute crypto Commandsdebug Debugging functions (see also ‘undebug’)


2 de 17 29/04/2012 21:20

delete Delete a filedir List files on a filesystemdisable Exit from privileged modedowngrade Downgrade the file system and rebootdynamic-access-policy-config Activates the DAP selection configuration file.eou EAPoUDPerase Erase a filesystem

…

——————————————————————————–5. O comando show running-config mostra a configuração corrente sendo executadapelo device.DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar oscomandos.

pixfirewall# show running-config (show run): Saved:PIX Version 8.0(3)!hostname pixfirewallenable password 8Ry2YjIyt7RRXU24 encryptednames!interface Ethernet0shutdownno nameifno security-levelno ip address!interface Ethernet1shutdownno nameifno security-levelno ip address!…!class-map inspection_defaultmatch default-inspection-traffic!!policy-map type inspect dns preset_dns_mapparametersmessage-length maximum 512policy-map global_policyclass inspection_defaultinspect dns preset_dns_mapinspect ftpinspect h323 h225inspect h323 rasinspect rsh


3 de 17 29/04/2012 21:20

inspect rtspinspect esmtpinspect sqlnetinspect skinnyinspect sunrpcinspect xdmcpinspect sipinspect netbiosinspect tftp!service-policy global_policy globalprompt hostname contextCryptochecksum:8155ed0f27cc702c56ac2f6a39becc99: end

——————————————————————————–6. Execute o comando show version para identificar as capacidades do device e o tipode licença do software. Este comando mostra também a quantidade de memória que odevice possui, o número de interfaces, assim como a versão do PixOS sendo executada.

pixfirewall# show version

Cisco PIX Security Appliance Software Version 8.0(3)

Compiled on Tue 06-Nov-07 19:50 by buildersSystem image file is “Unknown, monitor mode tftp booted image”Config file at boot was “startup-config”

pixfirewall up 3 mins 24 secs

Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHzFlash E28F128J3 @ 0xfff00000, 16MBBIOS Flash AM29F400B @ 0xfffd8000, 32KB

0: Ext: Ethernet0 : address is 0000.ab85.8e00, irq 91: Ext: Ethernet1 : address is 0000.ab85.8e01, irq 112: Ext: Ethernet2 : address is 0000.ab85.8e02, irq 113: Ext: Ethernet3 : address is 0000.abcd.ef03, irq 114: Ext: Ethernet4 : address is 0000.abcd.ef04, irq 11

Licensed features for this platform:Maximum Physical Interfaces : 10Maximum VLANs : 100Inside Hosts : UnlimitedFailover : Active/ActiveVPN-DES : EnabledVPN-3DES-AES : EnabledCut-through Proxy : EnabledGuards : EnabledURL Filtering : EnabledSecurity Contexts : 2GTP/GPRS : DisabledVPN Peers : Unlimited


4 de 17 29/04/2012 21:20

This platform has an Unrestricted (UR) license.

Serial Number: 808062467Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084Configuration has not been modified since last system restart.

——————————————————————————–7. O comando show history mostra o histórico de comandos executados.

pixfirewall# show historyenableshow running-configshow versionshow history

——————————————————————————–8. Qualquer configuração deve ser executada a partir do prompt de configuração global.Entre neste prompt com o comando configure terminal e configure o hostname do PIXpara FIREWALL1.

pixfirewall# configure terminalpixfirewall(config)# hostname FIREWALL1FIREWALL1(config)#

——————————————————————————–9. A feature names permite que você atribua nomes aos devices ao invés de referenciarseus endereços IP. Para usar essa feature, você precisa ativá-la com o comando names.

FIREWALL1(config)# names

——————————————————————————–10. Atribua o nome bastionhost para o servidor web na DMZ.

FIREWALL1(config)# name 172.16.1.10 bastionhost

——————————————————————————–11. Atribua o nome insidehost para o PC da rede interna.

FIREWALL1(config)# name 10.0.1.3 insidehost

——————————————————————————–12. Salve suas configurações para a memória flash.

FIREWALL1(config)# write memoryBuilding configuration…Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56


——————————————————————————–Tarefa 2: Configuração das interfaces

13. Agora chegou o momento de configurar as interfaces do pix. Para configurar umainterface, no prompt de configuração global, use o comando interface mais o nome e


5 de 17 29/04/2012 21:20

número da interface. Comece configurando a interface Ethernet0 (inside). Note amudança de prompt para (config-if) sinalizando que você está configurando umainterface.

FIREWALL1(config)# interface ?

configure mode commands/options:Ethernet IEEE 802.3

FIREWALL1(config)# interface ethernet ?

configure mode commands/options:Ethernet interface numberFIREWALL1(config)# interface ethernet 0FIREWALL1(config-if)#

NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementarum comando, ou mesmo quando estiver em dúvida quanto à palavra correta de umcomando. Por exemplo, para saber quantos comandos começam com name,complemente a palavra name com um ponto de interrogação, sem espaços, conformeilustrado a seguir.

FIREWALL1(config-if)# name?

interface mode commands/options:nameif

configure mode commands/options:name names

——————————————————————————–14. Cinco configurações precisam ser executadas para colocar uma interfaceoperacional: ip address, speed, duplex, security-level e nameif.

IP address: Endereço IP da interface.Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, paraautonegociação).Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação.Recomendamos sempre configurar a interface para trabalhar em full-duplex.Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo desegurança e 0 o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo deuma interface de security-level mais baixo para uma interface com security-level maisalto. Tráfego outbound (saindo) significa tráfego fluindo de uma interface comsecurity-level mais alto para uma interface com security-level mais baixo. O tráfegonunca flui diretamente de uma interface com security-level mais baixo para umainterface com security-level mais alto sem liberação explícita (access-lists). Éautomaticamente bloqueado pelo PIX. Além disso, interfaces com níveis de segurançaiguais não são capazes de se comunicar.Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interfaceinside (interna) assume automaticamente o security-level 100. A interface outside (defora) assume automaticamente o security-level 0. Outro nome bastante comum parauma interface é DMZ, que significa zona desmilitarizada. Na DMZ posicionamos osservidores de acesso público. Qualquer interface diferente de inside assumesecurity-level 0.


6 de 17 29/04/2012 21:20

Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1.Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Aofinalizar, ligue a interface com o comando no shutdown.

FIREWALL1(config-if)# nameif insideINFO: Security level for “inside” set to 100 by default.FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0FIREWALL1(config-if)# speed 100FIREWALL1(config-if)# duplex fullFIREWALL1(config-if)# no shutdownFIREWALL1(config-if)# exit

——————————————————————————–15. Confira se a interface está administrativamente up e operacional.

FIREWALL1(config)# show interface eth0Interface Ethernet0 “inside”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e00, MTU 1500IP address 10.0.1.1, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/0) software (0/0)Traffic Statistics for “inside”:128 packets input, 76758 bytes0 packets output, 0 bytes128 packets dropped1 minute input rate 2 pkts/sec, 1279 bytes/sec1 minute output rate 0 pkts/sec, 0 bytes/sec1 minute drop rate, 2 pkts/sec5 minute input rate 0 pkts/sec, 0 bytes/sec5 minute output rate 0 pkts/sec, 0 bytes/sec5 minute drop rate, 0 pkts/sec

——————————————————————————–16. Confira as configurações da interface com o comando show running-config interfaceeth0. Diferente de um router, um pix permite a leitura de seções do arquivo deconfiguração.

FIREWALL1(config)# show run interface eth0!interface Ethernet0speed 100duplex fullnameif inside


7 de 17 29/04/2012 21:20

security-level 100ip address 10.0.1.1 255.255.255.0FIREWALL1(config)#

——————————————————————————–17. Configure também as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina osecurity-level da interface eth1 em 50.

FIREWALL1(config)# interface ethernet1FIREWALL1(config-if)# nameif dmzINFO: Security level for “dmz” set to 0 by default.FIREWALL1(config-if)# security-level 50FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0FIREWALL1(config-if)# speed 100FIREWALL1(config-if)# duplex fullFIREWALL1(config-if)# no shutdownFIREWALL1(config-if)# interface eth2FIREWALL1(config-if)# nameif outsideINFO: Security level for “outside” set to 0 by default.FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0FIREWALL1(config-if)# speed 100FIREWALL1(config-if)# duplex fullFIREWALL1(config-if)# no shutdownFIREWALL1(config-if)# exit

——————————————————————————–18. Confira as configurações das interfaces.

FIREWALL1(config)# show run interface!interface Ethernet0speed 100duplex fullnameif insidesecurity-level 100ip address 10.0.1.1 255.255.255.0!interface Ethernet1speed 100duplex fullnameif dmzsecurity-level 50ip address 172.16.1.1 255.255.255.0!interface Ethernet2speed 100duplex fullnameif outsidesecurity-level 0ip address 200.0.1.1 255.255.255.0!…


8 de 17 29/04/2012 21:20

——————————————————————————–19. Garanta que as interfaces estejam ativas e operacionais.

FIREWALL1(config)# show interfaceInterface Ethernet0 “inside”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e00, MTU 1500IP address 10.0.1.1, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/0) software (0/0)…Interface Ethernet1 “dmz”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e01, MTU 1500IP address 172.16.1.10, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops0 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/0) software (0/0)…Interface Ethernet2 “outside”, is up, line protocol is upHardware is i82559, BW 100 Mbps, DLY 100 usecFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab85.8e02, MTU 1500IP address 200.0.1.1, subnet mask 255.255.255.0128 packets input, 0 bytes, 0 no bufferReceived 128 broadcasts, 0 runts, 0 giants0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort0 L2 decode drops1 packets output, 0 bytes, 0 underruns0 output errors, 0 collisions, 0 interface resets0 babbles, 0 late collisions, 0 deferred0 lost carrier, 0 no carrierinput queue (curr/max packets): hardware (0/1) software (0/128)output queue (curr/max packets): hardware (0/1) software (0/1)

——————————————————————————–


9 de 17 29/04/2012 21:20

20. Você pode usar filtros para selecionar um trecho específico da saída de umcomando. Por exemplo, você poderia filtrar o resultado do comando show interface paracapturar as linhas que considerar mais relevantes. No exemplo abaixo,complementando o comando show interface com pipe (|) e include foram capturadas aslinhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos aexpressão entre parênteses de regex (Regular Expression).

FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC)Interface Ethernet0 “inside”, is up, line protocol is upFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab33.f500, MTU 1500IP address 10.0.1.1, subnet mask 255.255.255.0Interface Ethernet1 “dmz”, is up, line protocol is upFull-Duplex(Full-duplex), 10 Mbps(10 Mbps)MAC address 0000.ab33.f501, MTU 1500IP address 172.16.1.1, subnet mask 255.255.255.0Interface Ethernet2 “outside”, is up, line protocol is upFull-Duplex(Full-duplex), 100 Mbps(100 Mbps)MAC address 0000.ab33.f502, MTU 1500IP address 200.0.1.1, subnet mask 255.255.255.0Interface Ethernet3 “”, is administratively down, line protocol is upAuto-Duplex(Full-duplex), Auto-Speed(100 Mbps)MAC address 0000.abcd.ef03, MTU not setIP address unassignedInterface Ethernet4 “”, is administratively down, line protocol is upAuto-Duplex(Full-duplex), Auto-Speed(100 Mbps)MAC address 0000.abcd.ef04, MTU not setIP address unassigned

——————————————————————————–21. Com o comando show ip address você confere rapidamente o nome e o endereço IPconfigurado na interface.

FIREWALL1(config)# show ip addressSystem IP Addresses:Interface Name IP address Subnet mask MethodEthernet0 inside 10.0.1.1 255.255.255.0 manualEthernet1 dmz 172.16.1.1 255.255.255.0 manualEthernet2 outside 200.0.1.1 255.255.255.0 manualCurrent IP Addresses:Interface Name IP address Subnet mask MethodEthernet0 inside 10.0.1.1 255.255.255.0 manualEthernet1 dmz 172.16.1.1 255.255.255.0 manualEthernet2 outside 200.0.1.1 255.255.255.0 manual

——————————————————————————–22. Com o comando show nameif você confere rapidamente o nome e os security-levels.

FIREWALL1(config)# show nameifInterface Name SecurityEthernet0 inside 100Ethernet1 dmz 50Ethernet2 outside 0


10 de 17 29/04/2012 21:20

——————————————————————————–23. Use o comando show names para checar a configuração do mapeamento de IPspara nomes.

FIREWALL1(config)# show namesname 10.0.1.3 insidehostname 172.16.1.10 bastionhost

——————————————————————————–24. DesafioConfigure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2.


FIREWALL1(config)# wrBuilding configuration…Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916

2067 bytes copied in 1.220 secs (2067 bytes/sec)[OK]FIREWALL1(config)#

——————————————————————————–Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento

26. Comece ativando a capacidade NAT.

FIREWALL1(config)# nat-control

——————————————————————————–27. Crie um pool global de endereços quentes (válidos). Use o comando globalassociando este pool à interface outside e amarrando ao ID 1. Este pool de endereçosserá usado para as conexões de saída. Ao final, confira as configurações.

FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0

FIREWALL1(config)# show run globalglobal (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0

——————————————————————————–28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID1 para associar este NAT ao pool global criado anteriormente. Ao final, confira asconfigurações.

FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0

FIREWALL1(config)# show run natnat (inside) 1 10.0.1.0 255.255.255.0

NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID.

——————————————————————————–29. Agora configure uma rota default para o tráfego que sai pela interface outsideusando o comando route. O comando route chama como complemento uma interface


11 de 17 29/04/2012 21:20

para onde o tráfego será direcionado, a rede e máscara destino e o endereço IP depróximo salto.

FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2

NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para ainterface outside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto oroteador RBB. Se quisesse rotear para uma subnet específica, bastaria substituir oendereço 0.0.0.0/0 pelo endereço e máscara da subnet.

——————————————————————————–30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamenteconectadas e a rota default.

FIREWALL1(config)# show route

Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGPD – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter areaN1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGPi – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area* – candidate default, U – per-user static route, o – ODRP – periodic downloaded static route

Gateway of last resort is 200.0.1.2 to network 0.0.0.0

C 200.0.1.0 255.255.255.0 is directly connected, outsideC 10.0.1.0 255.255.255.0 is directly connected, insideC 172.16.1.0 255.255.255.0 is directly connected, dmzS* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside


FIREWALL1(config)# write memoryBuilding configuration…Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d


——————————————————————————–32. DesafioRepita o procedimento anterior de configuração e configure no FW2 um pool global deendereços, NAT inside e uma rota default. Confira as configurações.

——————————————————————————–Tarefa 4: Configuração dos roteadores

33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabiliteo roteamento em R1 e R2 e configure como default gateway o endereço da interfacediretamente conectada do PIX.

Router> enableRouter# configure terminal


12 de 17 29/04/2012 21:20

Router(config)# hostname R1R1(config)# interface fastethernet 0/0R1(config-if)# ip address 10.0.1.100 255.255.255.0R1(config-if)# no shutdownR1(config-if)# exitR1(config)# no ip routingR1(config)# ip default-gateway 10.0.1.1R1(config)# endR1# copy running-config startup-configDestination filename [startup-config]?Building configuration…

[OK]R1#

—————————Router> enableRouter# configure terminalRouter(config)# hostname R2R2(config)# interface fastethernet 0/0R2(config-if)# ip address 10.0.2.100 255.255.255.0R2(config-if)# no shutdownR2(config-if)# exitR2(config)# no ip routingR2(config)# ip default-gateway 10.0.2.1R2(config)# endR2# copy running-config startup-config

—————————Router> enableRouter# configure terminalRouter(config)# hostname RBBRBB(config)# interface fastethernet 0/0RBB(config-if)# ip address 200.0.1.2 255.255.255.0RBB(config-if)# description RBB—>FW1RBB(config-if)# no shutdownRBB(config-if)# interface fastethernet 0/1RBB(config-if)# ip address 200.0.2.2 255.255.255.0RBB(config-if)# description RBB—>FW2RBB(config-if)# no shutdownRBB(config-if)# interface loopback 0RBB(config-if)# ip address 189.0.0.1 255.255.255.0RBB(config-if)# description +++Public Web Server+++RBB(config-if)# endRBB# copy running-config startup-config

——————————————————————————–Tarefa 5: Testando a conectividade

34. Um teste de conectividade bastante comum é usando pings. Vamos checar se asinterfaces do FIREWALL 1 respondem às próprias requisições ping.

FIREWALL1# ping 10.0.1.1Type escape sequence to abort.


13 de 17 29/04/2012 21:20

Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms



——————————————————————————–35. Teste a conectividade com os devices adjacentes. Teste a conectividade com oservidor interno FTP (insidehost)

FIREWALL1# ping insidehostType escape sequence to abort.Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms

——————————————————————————–36. Teste a conectividade com o servidor web (bastionhost).

FIREWALL1# ping bastionhostType escape sequence to abort.Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds:!!!!!Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms

——————————————————————————–37. Teste a conectividade com R1.


——————————————————————————–38. Teste a conectividade com RBB.


——————————————————————————–


14 de 17 29/04/2012 21:20

39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2.


——————————————————————————–40. Vamos testar se a configuração de NAT está funcionando acessando o servidor webno endereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisiçãopartindo de uma rede mais protegida para uma rede menos protegida, ou seja, umarequisição partindo de uma rede com security-level mais alto para uma rede comsecurity-level mais baixo. Esta conexão TCP será totalmente rastreada pelo PIX e otráfego de retorno será permitido sem restrições, porque o pedido de conexão TCPpartiu da rede interna.Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1.Você deve receber a página web armazenada no router RBB.

——————————————————————————–41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que umendereço do pool global foi usado nesta conexão.

FIREWALL1# show xlate1 in use, 9 most usedGlobal 200.0.1.20 Local insidehost

——————————————————————————–42. Analise mais detalhadamente com o auxílio do comando show local-host.

FIREWALL1# show local-host insidehostInterface outside: 0 active, 3 maximum active, 0 deniedInterface dmz: 0 active, 1 maximum active, 0 deniedInterface inside: 1 active, 1 maximum active, 0 deniedlocal host: ,TCP flow count/limit = 0/unlimitedTCP embryonic count to host = 0TCP intercept watermark = unlimitedUDP flow count/limit = 0/unlimited

Xlate:Global 200.0.1.20 Local insidehost

——————————————————————————–43. DesafioRepita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidorweb externo esteja acessível aos hosts da rede interna.

——————————————————————————–Tarefa 6: Configurando um servidor syslog

Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando nohost da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon.44. Comece ativando o log de eventos no pix.


15 de 17 29/04/2012 21:20

FIREWALL1(config)# logging enable

——————————————————————————–45. Identifique o servidor syslog com o comando logging host. Complemente estecomando com o nome da interface onde o servidor está localizado e o endereço ou onome do servidor.

FIREWALL1(config)# logging host inside insidehost

——————————————————————————–46. Configure o nível das mensagens de log com o comando logging trap.

FIREWALL1(config)# logging trap ?

configure mode commands/options:Enter syslog level (0 – 7)WORD Specify the name of logging listalertscriticaldebuggingemergencieserrorsinformationalnotificationswarnings

FIREWALL1(config)# logging trap debuggingFIREWALL1(config)# show loggingSyslog logging: enabledFacility: 20Timestamp logging: disabledStandby logging: disabledDeny Conn when Queue Full: disabledConsole logging: disabledMonitor logging: disabledBuffer logging: disabledTrap logging: level debugging, facility 20, 3 messages loggedLogging to inside insidehostHistory logging: disabledDevice ID: disabledMail logging: disabledASDM logging: disabledFIREWALL1(config)#

——————————————————————————–47. Partindo de R1, dê um ping na interface inside do pix.

R1# ping 10.0.1.1!!!!!

——————————————————————————–48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings.

——————————————————————————–


16 de 17 29/04/2012 21:20


49. Desative o log.

FIREWALL1(config)# no logging trapFIREWALL1(config)# no logging enable

Gostou disso? Conte para todos

Related posts:

Tutorial GNS31.

Manual de Laboratórios2.

Exercícios: CCNA 1 Módulo 11 – Exploration v4.03.

About the author

emersonmeh

If you enjoyed this article, please consider sharing it!


17 de 17 29/04/2012 21:20

pix firewall estude ccna

Documents

key modify activation

prof aurio tenrio

significa zona desmilitarizada

analise mais detalhadamente

pode assumir half

pixos sendo executada

faam bom proveito

byte icmp echos