WWW.LIB.KNIGI-X.RU
БЕСПЛАТНАЯ  ИНТЕРНЕТ  БИБЛИОТЕКА - Электронные материалы
 

«PIX/ASA: Установка и устранение неполадок подключения через устройство защиты Cisco Содержание Введение Предварительные условия Требования Используемые компоненты Условные обозначения Как ...»

PIX/ASA: Установка и устранение неполадок подключения

через устройство защиты Cisco

Содержание

Введение

Предварительные условия

Требования

Используемые компоненты

Условные обозначения

Как работает возможность подключения через PIX

Настройка подключения через PIX

Разрешение широковещательного трафика ARP

Разрешенные MAC-адреса

Неразрешенный трафик режима маршрутизатора

Устранение неполадок соединения

Сообщение об ошибках - %PIX|ASA-4-407001:

Синтаксис команд Access-list ПО PIX версии 5.0.x и более поздних версий Дополнительные сведения Введение При изначальной настройке межсетевого экрана PIX устанавливается политика безопасности по умолчанию: предполагается, что выход из сети возможен, а вход в нее невозможен. Если для узла требуется другая политика безопасности, можно разрешить внешним пользователям подключаться к веб–серверу через PIX.

После установления основного соединения через межсетевой экран PIX можно изменить конфигурацию этого межсетевого экрана.

Убедитесь, что все изменения, внесенные в настройки межсетевого экрана PIX, соответствуют политике безопасности узла.

См. ASA 8.3: Установите и Подключение Устранения неполадок Через Cisco Security Appliance для получения дополнительной информации об одинаковой конфигурации на устройстве адаптивной защиты Cisco (ASA) с версией 8.3 и позже.

См. раздел Проблемы производительности мониторинга и устранения неполадок PIX 500 для получения дополнительной информации о различных командах "show", необходимых при устранении неполадок.



См. раздел Устранение неполадок подключения через PIX и ASA для получения дополнительной информации об устранении неполадок устройства обеспечения безопасности.

Предварительные условия Требования В данном документе предполагается, что некоторые начальные конфигурации на PIX уже были выполнены.

Чтобы просмотреть примеры изначальной настройки PIX, обратитесь к данным документам:

Конфигурирование Cisco Secure PIX Firewall с одиночной внутренней сетью Конфигурирование клиента PPPoE на межсетевом экране Cisco Secure PIX Используемые компоненты Сведения в этом документе основаны на программном обеспечении межсетевого экрана Cisco Secure PIX версии 5.0.x и более поздних версий.

Примечание: Ранние версии программного обеспечения PIX используют команду conduit вместо команды access-list. Каждая из команд работает с программным обеспечением межсетевого экрана PIX версии 5.0.x и более поздних версий.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения Более подробную информацию о применяемых в документе обозначениях см. в описании условных обозначений, используемых в технической документации Cisco.

Как работает возможность подключения через PIX В этой сети хост А – веб-сервер с внутренним адресом 10.2.1.5. Веб-серверу назначен внешний (транслированный) адрес – 192.168.202.5. Чтобы получить доступ к веб-серверу, пользователи Интернет должны указать этот адрес – 192.168.202.5. Данный адрес должен являться записью DNS для веб-сервера. Другие подключения из Интернета запрещены.





Примечание: Схемы IP-адресации, которые использованы в данной конфигурации, не поддерживаются официальной маршрутизацией в Интернете. Это адреса RFC 1918, используемые в лабораторной среде.

Настройка подключения через PIX Выполните следующие шаги, чтобы настроить подключение через PIX.

1. Настройка глобального пула для использования внутренними главными компьютерами при доступе в Интернет.

global (outside) 1 192.168.202.10-192.168.202.50 netmask 255.255.255.0

2. Направьте внутренние адреса так, чтобы они делали выбор из глобального 1 пула.

–  –  –

3. Назначьте статические транслированные адреса внутренним хостам, к которым пользователи Интернет имеют доступ.

static (inside,outside) 192.168.202.5 10.2.1.5 0 0

4. Воспользуйтесь командой access-list, чтобы разрешить доступ внешним пользователям через межсетевой экран PIX.

Всегда используйте преобразованный адрес в команде access-list.

–  –  –

Более подробную информацию о синтаксисе команд, см. в разделе Синтаксис команд conduit и access-list этого документа.

Разрешение широковещательного трафика ARP Устройство защиты подключается к той же сети на внешних и внутренних интерфейсах. Поскольку межсетевой экран не является переходом через маршрутизатор, можно легко ввести прозрачный межсетевой экран в существующую сеть. Переназначение IP-адреса необязательно. Трафик IPv4 разрешается через прозрачный межсетевой экран автоматически (с более безопасного интерфейса на менее безопасный без использования списка доступа). Протоколы разрешения адресов (ARP) разрешены в обоих направлениях через прозрачный межсетевой экран без использования списка доступа. Проверка ARP-трафика осуществляется с помощью функции инспектирования ARP. Для трафика третьего уровня, который передается от менее безопасного к более безопасному интерфейсу, требуется расширенный список доступа.

Примечание: Прозрачный режим устройства защиты не передает CDP-пакеты или пакеты IPv6 либо пакеты, не имеющие допустимого значения EtherType, превышающего или равного 0x600. Например, невозможно прохождение пакетов IS-IS. Исключением является поддерживаемые блоки BPDU (Блок данных протокола моста).

Разрешенные MAC-адреса Эти MAC-адреса получателей разрешены для прохождения трафика через прозрачный межсетевой экран.

Любые MAC-адреса, не указанные в данном списке отбрасываются:

Реальный широковещательный MAC-адрес получателя, равный FFFF.FFFF.FFFF MAC-адреса групповой адресации IPv4 с 0100.5E00.0000 по 0100.5EFE.FFFF MAC-адреса групповой адресации IPv6 с 3333.0000.0000 по 3333.FFFF.FFFF Адрес групповой адресации BPDU, равный 0100.0CCC.CCCD Многоадресные MAC-адреса AppleTalk с 0900.0700.0000 по 0900.07FF.FFFF Неразрешенный трафик режима маршрутизатора В режиме маршрутизатора некоторым типам трафика не удается пройти через устройства защиты, даже если он разрешен в списке доступа. Однако прозрачный межсетевой экран, разрешает прохождение почти любому трафику с помощью расширенного списка доступа (для IP-трафика) или списка доступа EtherType (для не IP-трафика).

Например, с помощью прозрачного межсетевого экрана можно установить смежности протокола маршрутизации. Можно разрешить прохождение трафика, основанного на расширенном списке доступа таких протоколов, как протокол предпочтения кратчайшего пути (OSPF), протокол маршрутной информации (RIP), усовершенствованный внутренний протокол маршрутизации сетевых интерфейсов (EIGRP) или протокол пограничных шлюзов (BGP). Аналогично этому, протокол маршрутизатора горячего резервирования (HSRP) или протокол резервного виртуального маршрутизатора (VRRP) может проходить через устройство обеспечения безопасности.

Не IP-трафик (например, AppleTalk, IPX, BPDUs, и MPLS) может быть настроен на прохождение с помощью списка доступа EtherType.

Если какие-либо функции не поддерживаются прозрачным межсетевым экраном, можно разрешить прохождение трафика через него, чтобы вышестоящие или нижестоящие маршрутизаторы смогли обеспечить необходимую функциональность. Например, благодаря использованию расширенного списка доступа, можно разрешить трафик DHCP (вместо неподдерживаемой функции протокола динамичной настройки узла [DHCP]) или многоадресный трафик, например, который создается IP/TV.

Устранение неполадок соединения

Если пользователям Интернет не удалось получить доступ к веб-узлу, необходимо выполнить следующие действия:

1. Убедитесь, что введенная настройка адресов верна:

Допустимый внешний адрес Правильный внутренний адрес Внешняя DNS имеет транслированный адрес

2. Проверьте внешний интерфейс на наличие ошибок. Устройство обеспечения безопасности Cisco предварительно настроено для автоматического определения скорости и дуплексных режимов интерфейса. Однако существуют некоторые ситуации, которые могут вызвать сбой процесса автоматического согласования. Это результат несоответствия значений скорости или дуплексного режима (а также падение производительности). Для критически важной сетевой инфраструктуры, Cisco аппаратно программирует скорость и дуплексный режим на каждом интерфейсе, так что вероятность возникновения ошибок минимальна. Обычно эти устройства не перемещаются, поэтому если настроить их правильно изначально, в дальнейшем не будет необходимости их менять.

–  –  –

В некоторых ситуациях, аппаратное программирование скорости и дуплексного режима приводит к формированию ошибок.

Необходимо настроить интерфейс по умолчанию в режиме автоматического обнаружения, как показано в данном примере:

–  –  –

Для получения дополнительных сведений, см. раздел Настройка скорости и дуплексного режима в документе Проблемы производительности мониторинга и устранения неполадок PIX.

3. Если трафик не отсылается или не принимается через интерфейс PIX или маршрутизатор головного узла, очистите статистику ARP.

–  –  –

4. Используйте команду show static, чтобы убедиться, что включено статическое преобразование.

5. Используйте ключевое слово interface вместо IP-адреса интерфейса в статической инструкции NAT, если статическое отображение не работает после обновления до версии 7.2(1).

–  –  –

static (inside,outside) tcp 192.168.202.2 80 10.2.1.5 1025 netmask 255.255.255.255 В этом сценарии, внешний IP-адрес используется для отображения IP-адреса для веб-сервера. Возможно, данное статическое отображение не работает для PIX/ASA версии 7.2(1). Чтобы решить данную проблему, воспользуйтесь нижеприведенным синтаксисом.

static (inside,outside) tcp interface 80 10.2.1.5 1025 netmask 255.255.255.255

6. Проверьте, что маршрут по умолчанию на веб-сервере указывает на внутренний интерфейс PIX.

7. Проверьте таблицу преобразования, используя команду show xlate, чтобы увидеть, было ли создано преобразование.

8. С помощью команды logging buffer debug можно просмотреть файлы журнала и проверить, возникали ли отказы.

(Проверьте наличие преобразованных адресов и посмотрите есть ли какие-либо отказы.).)

9. Для версии 6.2.2 или позже используйте команду capture:

access-list webtraffic permit tcp any host 192.168.202.5 capture capture1 access-list webtraffic interface outside Если используется более ранняя версия, чем версия 6.2.2 и если сеть не занята, можно захватить трафик, применив команду debug packet. Данная команда захватывает пакеты, поступающие от внешнего хоста к веб-серверу.

debug packet outside dst 192.168.202.5 proto tcp dport 80 bot Примечание: Данная команда создает большой объем выходных данных. Это может привести к зависанию или перезагрузке маршрутизатора при большом объеме трафика.

10. Если пакеты все же дойдут до PIX, убедитесь, что маршрут из PIX к веб-серверу указан правильно. (Проверьте команды route в конфигурации PIX.).)

11. Проверьте, отключен ли прокси-ARP. Задайте команду show running-config sysopt в PIX/ASA 7.x или show sysopt в PIX 6.x.

Теперь прокси-ARP отключен командой sysopt noproxyarp outside:

–  –  –

Чтобы включить заново прокси-ARP, введите данную команду в режиме глобального конфигурирования:

ciscoasa(config)#no sysopt noproxyarp outside Когда хост посылает IP-трафик другому устройству в той же сети Ethernet, этому хосту необходимо знать MAC-адрес устройства.

ARP — протокол 2 уровня, который определяет IP-адрес для MAC-адреса. Хост посылает ARP-запрос "Кто владеет данным IPадресом?"?". Устройство, которое обладает данным IP-адресом, отвечает "Мой IP-адрес; вот мой MAC-адрес."."

Прокси-ARP позволяет устройствам защиты отвечать на запрос ARP от имени хостов, находящихся за ним. Это происходит путем посылки ответов на запросы ARP для статически назначенных адресов этих узлов. Устройство обеспечения безопасности выдает в ответ на запрос собственный MAC-адрес, затем переадресовывает пакеты IP к соответствующему внутреннему узлу.

Например, на схеме в данном документе показано, что когда запрос ARP делается для глобального IP-адреса веб-сервера, 192.168.202.5, устройство защиты выдает в ответ собственный MAC-адрес. Если в данной ситуации прокси-ARP не включен, узлам, на внешней сети устройства обеспечения безопасности, не удается достичь веб-сервера путем посылки запроса ARP для адреса 192.168.202.5. Дополнительную информацию о команде sysopt см. в справочнике по командам.

12. В случае, когда все настроено правильно, а пользователю все равно не удается получить доступ к веб-серверу, обратитесь в Техническую поддержку Cisco.

Сообщение об ошибках - %PIX|ASA-4-407001:

Немного хостов неспособны соединиться с Интернетом, и сообщение об ошибках Error Message - %PIX|ASA-4-407001:

Deny traffic for local-host interface_name:inside_address, license limit of number exceeded замечено в системном журнале. Как может быть решена эта ошибка?

Когда количество пользователей превышает пользовательский предел используемой лицензии, это сообщение об ошибках замечено.

Обновите лицензию на более высокое количество пользователей, которые могут быть 50, 100 или лицензия неограниченного пользователя как требуется, для решения этой ошибки.

Синтаксис команд Access-list ПО PIX версии 5.0.x и более поздних версий

Команда access-list была впервые реализована в ПО PIX версии 5.0. Данный пример показывает синтаксис команд access-list:

access-list acl_name [deny | permit] protocol source source_netmask destination destination_netmask Пример: access-list 101 permit tcp any host 192.168.202.5 eq www

Чтобы применить список доступа, необходимо включить в конфигурацию следующий синтаксис:

access-group acl_name in interface interface_name Команда access-group направляет список доступа на интерфейс. Список доступа применяется к трафику, входящему на интерфейс.

Если ввести параметр permit в командный оператор access-list, межсетевой экран PIX продолжает обрабатывать пакеты. Если ввести параметр deny в командный оператор access-list, межсетевой экран PIX сбрасывает пакет.

Примечание: Каждая введенная запись управления доступом (ACE) для данного имени списка доступа, добавляется к концу списка, если не указан номер строки ACE.

Примечание: Важен порядок записей ACE. Когда устройство обеспечения безопасности принимает решение относительно необходимости переадресации или сброса пакета, оно проверяет пакеты на соответствие условиям каждой ACE в том порядке, в котором указаны записи. После обнаружения соответствий записи ACE больше не проверяется. Например, если создать ACE в начале списка доступа, который явно разрешает весь трафик, дальнейшие операторы не проверяются.

Примечание: В конце списков доступа находится неявный запрет. Поэтому без явного разрешения трафик не может пропускаться.

Например, если необходимо разрешить все пользователям доступ к сети через устройство обеспечения безопасности за исключением отдельных адресов, необходимо установить запрет на эти адреса, а затем разрешить все остальные.

Дополнительные сведения Запросы комментариев (RFC) Технические примечания по поиску и устранению неисправностей © 1992-2016 Cisco Systems, Inc. Все права защищены.

Дата генерации PDF файла: 20 октября 2016

Похожие работы:

«ПРЕДЛОЖЕНИЯ ПО РЕФОРМИРОВАНИЮ ПРОСТРАНСТВЕ. http://www.economy.nayka.com.ua/?op=1&z=2262 Електронне наукове фахове видання Ефективна економіка включено до переліку наукових фахових видань України з питань економіки (Наказ Міністерства освіти і науки України від...»

«Приказ МПС РФ от 18 июня 2003 г. № 31 Об утверждении Правил перевозок железнодорожным транспортом грузов в специализированных контейнерах В соответствии со статьей 3 Федерального закона Устав железнодорожного транспорта Российской Федерации (Собрание...»

«HP Deskjet 2540 All-in-One series Содержание 1 Справка HP Deskjet 2540 series 2 Краткий обзор устройства HP Deskjet 2540 series Компоненты принтера Функции панели управления Параметры беспроводной связи Индикаторы состояния Автоотключение 3 Печать Печать документов Печать фотографий Печать...»

«МЕЖДУНАРОДНЫЙ НАУЧНЫЙ ЖУРНАЛ "ИННОВАЦИОННАЯ НАУКА" №8/2015 ISSN 2410-6070 способы ведения дискуссии и определения правильного понимания путей изучения проблемы и как следствие – грамотного ее решения.Список использованной литературы: 1. Борисова Е.В. Компетентностный аспе...»

«Красноженова Елена Евгеньевна РЫНОЧНАЯ ТОРГОВЛЯ В ПЕРИОД ВЕЛИКОЙ ОТЕЧЕСТВЕННОЙ ВОЙНЫ (НА ПРИМЕРЕ НИЖНЕГО ПОВОЛЖЬЯ) В статье показаны особенности организации рыночной торговли в Нижнем Поволжье в период Велик...»

«Отдел научно-исследовательской и методической работы Выпуск 2 Волгоград Волгоградская областная универсальная научная библиотека им. М. Горького Отдел научно-исследовательской и методической работы Выпуск 2 Горизонты идей Сборник материалов из опыта работы библиотек Волгоградской области Волгог...»

«Учебно-научно-внедренческое предприятие "Комвакс" C.А. Ваксман ТРАНСПОРТНЫЕ СИСТЕМЫ ГОРОДОВ Указатель работ, опубликованных в СССР на русском языке Версия 3.1 август 2004г. Екатеринбург Транспортные системы...»

«Сучасні проблеми криміналістики прав як донора, так і реципієнта не є вичерпним, але він красномовно засвідчує їх специфіку та необхідність дотримання. Таким чином, криміналістичний аналіз особи пацієнта в механізмі злочинів, що вчиняються при наданні медичної допомоги, дозволяє отримати інформацію про ф...»








 
2017 www.lib.knigi-x.ru - «Бесплатная электронная библиотека - электронные материалы»

Материалы этого сайта размещены для ознакомления, все права принадлежат их авторам.
Если Вы не согласны с тем, что Ваш материал размещён на этом сайте, пожалуйста, напишите нам, мы в течении 1-2 рабочих дней удалим его.