of 38

PIX Firewall Estude CCNA

Published on January 2017 | Categories: Documents | Downloads: 16 | Comments: 0
78 views

Comments

Content

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

professional wordpress themes

Estude CCNA
Compartilhando idéias e Experiências

Posts Groups HD Exercícios Eu SOU CCNA Vídeo-aulas Contato

Conheça um Roteador e um Switch Cisco por dentro Configuração Básica do Roteador usando SDM

LAB: Configuração do PIX Firewall
On 9 de julho de 2011, in Laboratórios, Tutoriais, by emersonmeh Tutorial completo com passo a passo e troubleshooting de todas as configurações feitas. Print PDF

Neste tutorial, é possivel configurar e efetuar o troubleshooting de todas as configurações que serão feitas. O Tutorial não foi feito por mim, o crédito é do Profº Aurio Tenório que ministra a matéria de Laboratório de Redes no Centro Universitário SENAC. Efetuei toda a configuração utilizando o GNS3. Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configuração básica do Firewall PIX. Façam bom proveito !!!

1 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Lab. – Configuração básica do PIX Objetivos: - Executar comandos de checagem - Configurar as interfaces do security appliance - Criar um pool global de globais e configurar NAT - Configurar roteamento através do appliance - Testar a conectividade das interfaces inside, outside e DMZ - Direcionar o log de eventos para um servidor syslog Topologia

Laboratório Tarefa 1: Comandos gerais Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configuração. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxílio do professor para sanar as dúvidas. ——————————————————————————– 1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt de usuário. Neste prompt, apenas alguns comandos de checagem podem ser executados. Você não consegue configurar o device neste prompt. pixfirewall> ——————————————————————————– 2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação. pixfirewall> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC

2 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

show Show running system information traceroute Trace route to destination ——————————————————————————– 3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter. pixfirewall> enable password: pixfirewall# ——————————————————————————– 4. Exiba a lista de comandos do prompt privilegiado. DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) para cancelar o resultado da saída. pixfirewall# ? aaa-server Specify a AAA server activation-key Modify activation-key asdm Disconnect a specific ASDM session blocks Set block diagnostic parameters capture Capture inbound and outbound packets on one or more interfaces cd Change current directory clear Reset functions client-update Execute client updates on all or specific tunnel-groups clock Manage the system clock configure Configure using various methods copy Copy from one file to another cpu general CPU stats collection tools crashinfo Crash information crypto Execute crypto Commands debug Debugging functions (see also ‘undebug’) delete Delete a file dir List files on a filesystem disable Exit from privileged mode downgrade Downgrade the file system and reboot dynamic-access-policy-config Activates the DAP selection configuration file. eou EAPoUDP erase Erase a filesystem … ——————————————————————————– 5. O comando show running-config mostra a configuração corrente sendo executada pelo device. DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar os comandos. pixfirewall# show running-config (show run) : Saved :

3 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

PIX Version 8.0(3) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! … ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99 : end ——————————————————————————– 6. Execute o comando show version para identificar as capacidades do device e o tipo de licença do software. Este comando mostra também a quantidade de memória que o device possui, o número de interfaces, assim como a versão do PixOS sendo executada.

4 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

pixfirewall# show version Cisco PIX Security Appliance Software Version 8.0(3) Compiled on Tue 06-Nov-07 19:50 by builders System image file is “Unknown, monitor mode tftp booted image” Config file at boot was “startup-config” pixfirewall up 3 mins 24 secs Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz Flash E28F128J3 @ 0xfff00000, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: 1: 2: 3: 4: Ext: Ext: Ext: Ext: Ext: Ethernet0 : Ethernet1 : Ethernet2 : Ethernet3 : Ethernet4 : address is 0000.ab85.8e00, irq 9 address is 0000.ab85.8e01, irq 11 address is 0000.ab85.8e02, irq 11 address is 0000.abcd.ef03, irq 11 address is 0000.abcd.ef04, irq 11

Licensed features for this platform: Maximum Physical Interfaces : 10 Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Serial Number: 808062467 Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084 Configuration has not been modified since last system restart. ——————————————————————————– 7. O comando show history mostra o histórico de comandos executados. pixfirewall# show history enable show running-config show version show history ——————————————————————————– 8. Qualquer configuração deve ser executada a partir do prompt de configuração global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1. pixfirewall# configure terminal
5 de 21 29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

pixfirewall(config)# hostname FIREWALL1 FIREWALL1(config)# ——————————————————————————– 9. A feature names permite que você atribua nomes aos devices ao invés de referenciar seus endereços IP. Para usar essa feature, você precisa ativá-la com o comando names. FIREWALL1(config)# names ——————————————————————————– 10. Atribua o nome bastionhost para o servidor web na DMZ. FIREWALL1(config)# name 172.16.1.10 bastionhost ——————————————————————————– 11. Atribua o nome insidehost para o PC da rede interna. FIREWALL1(config)# name 10.0.1.3 insidehost ——————————————————————————– 12. Salve suas configurações para a memória flash. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56 1902 bytes copied in 1.30 secs (1902 bytes/sec) [OK] ——————————————————————————– Tarefa 2: Configuração das interfaces 13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configuração global, use o comando interface mais o nome e número da interface. Comece configurando a interface Ethernet0 (inside). Note a mudança de prompt para (config-if) sinalizando que você está configurando uma interface. FIREWALL1(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 FIREWALL1(config)# interface ethernet ? configure mode commands/options: Ethernet interface number FIREWALL1(config)# interface ethernet 0 FIREWALL1(config-if)# NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementar um comando, ou mesmo quando estiver em dúvida quanto à palavra correta de um comando. Por exemplo, para saber quantos comandos começam com name, complemente a palavra name com um ponto de interrogação, sem espaços, conforme ilustrado a seguir. FIREWALL1(config-if)# name?

6 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

interface mode commands/options: nameif configure mode commands/options: name names ——————————————————————————– 14. Cinco configurações precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif. IP address: Endereço IP da interface. Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociação). Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação. Recomendamos sempre configurar a interface para trabalhar em full-duplex. Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo de segurança e 0 o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Tráfego outbound (saindo) significa tráfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O tráfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberação explícita (access-lists). É automaticamente bloqueado pelo PIX. Além disso, interfaces com níveis de segurança iguais não são capazes de se comunicar. Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface é DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso público. Qualquer interface diferente de inside assume security-level 0. Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Ao finalizar, ligue a interface com o comando no shutdown. FIREWALL1(config-if)# nameif inside INFO: Security level for “inside” set to 100 by default. FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 15. Confira se a interface está administrativamente up e operacional. FIREWALL1(config)# show interface eth0 Interface Ethernet0 “inside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns
7 de 21 29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Traffic Statistics for “inside”: 128 packets input, 76758 bytes 0 packets output, 0 bytes 128 packets dropped 1 minute input rate 2 pkts/sec, 1279 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 2 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec ——————————————————————————– 16. Confira as configurações da interface com o comando show running-config interface eth0. Diferente de um router, um pix permite a leitura de seções do arquivo de configuração. FIREWALL1(config)# show run interface eth0 ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 FIREWALL1(config)# ——————————————————————————– 17. Configure também as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina o security-level da interface eth1 em 50. FIREWALL1(config)# interface ethernet1 FIREWALL1(config-if)# nameif dmz INFO: Security level for “dmz” set to 0 by default. FIREWALL1(config-if)# security-level 50 FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# interface eth2 FIREWALL1(config-if)# nameif outside INFO: Security level for “outside” set to 0 by default. FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 18. Confira as configurações das interfaces.

8 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

FIREWALL1(config)# show run interface ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet1 speed 100 duplex full nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet2 speed 100 duplex full nameif outside security-level 0 ip address 200.0.1.1 255.255.255.0 ! … ——————————————————————————– 19. Garanta que as interfaces estejam ativas e operacionais. FIREWALL1(config)# show interface Interface Ethernet0 “inside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) … Interface Ethernet1 “dmz”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e01, MTU 1500 IP address 172.16.1.10, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

9 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) … Interface Ethernet2 “outside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e02, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 1 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/1) software (0/1) ——————————————————————————– 20. Você pode usar filtros para selecionar um trecho específico da saída de um comando. Por exemplo, você poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expressão entre parênteses de regex (Regular Expression). FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC) Interface Ethernet0 “inside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f500, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 Interface Ethernet1 “dmz”, is up, line protocol is up Full-Duplex(Full-duplex), 10 Mbps(10 Mbps) MAC address 0000.ab33.f501, MTU 1500 IP address 172.16.1.1, subnet mask 255.255.255.0 Interface Ethernet2 “outside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f502, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 Interface Ethernet3 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef03, MTU not set IP address unassigned Interface Ethernet4 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef04, MTU not set IP address unassigned

10 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

——————————————————————————– 21. Com o comando show ip address você confere rapidamente o nome e o endereço IP configurado na interface. FIREWALL1(config)# show ip address System IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual ——————————————————————————– 22. Com o comando show nameif você confere rapidamente o nome e os security-levels. FIREWALL1(config)# show nameif Interface Name Security Ethernet0 inside 100 Ethernet1 dmz 50 Ethernet2 outside 0 ——————————————————————————– 23. Use o comando show names para checar a configuração do mapeamento de IPs para nomes. FIREWALL1(config)# show names name 10.0.1.3 insidehost name 172.16.1.10 bastionhost ——————————————————————————– 24. Desafio Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2. ——————————————————————————– 25. Salve suas configurações. FIREWALL1(config)# wr Building configuration… Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916 2067 bytes copied in 1.220 secs (2067 bytes/sec) [OK] FIREWALL1(config)# ——————————————————————————– Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento 26. Comece ativando a capacidade NAT. FIREWALL1(config)# nat-control

11 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

——————————————————————————– 27. Crie um pool global de endereços quentes (válidos). Use o comando global associando este pool à interface outside e amarrando ao ID 1. Este pool de endereços será usado para as conexões de saída. Ao final, confira as configurações. FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 FIREWALL1(config)# show run global global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 ——————————————————————————– 28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configurações. FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0 FIREWALL1(config)# show run nat nat (inside) 1 10.0.1.0 255.255.255.0 NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID. ——————————————————————————– 29. Agora configure uma rota default para o tráfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface para onde o tráfego será direcionado, a rede e máscara destino e o endereço IP de próximo salto. FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2 NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para a interface outside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto o roteador RBB. Se quisesse rotear para uma subnet específica, bastaria substituir o endereço 0.0.0.0/0 pelo endereço e máscara da subnet. ——————————————————————————– 30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default. FIREWALL1(config)# show route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area * – candidate default, U – per-user static route, o – ODR P – periodic downloaded static route Gateway of last resort is 200.0.1.2 to network 0.0.0.0 C 200.0.1.0 255.255.255.0 is directly connected, outside C 10.0.1.0 255.255.255.0 is directly connected, inside C 172.16.1.0 255.255.255.0 is directly connected, dmz S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside ——————————————————————————–

12 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

31. Salve suas configurações. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d 2134 bytes copied in 1.190 secs (2134 bytes/sec) [OK] ——————————————————————————– 32. Desafio Repita o procedimento anterior de configuração e configure no FW2 um pool global de endereços, NAT inside e uma rota default. Confira as configurações. ——————————————————————————– Tarefa 4: Configuração dos roteadores 33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereço da interface diretamente conectada do PIX. Router> enable Router# configure terminal Router(config)# hostname R1 R1(config)# interface fastethernet 0/0 R1(config-if)# ip address 10.0.1.100 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# no ip routing R1(config)# ip default-gateway 10.0.1.1 R1(config)# end R1# copy running-config startup-config Destination filename [startup-config]? Building configuration… [OK] R1# ————————— Router> enable Router# configure terminal Router(config)# hostname R2 R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.0.2.100 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# exit R2(config)# no ip routing R2(config)# ip default-gateway 10.0.2.1 R2(config)# end R2# copy running-config startup-config ————————— Router> enable Router# configure terminal

13 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Router(config)# hostname RBB RBB(config)# interface fastethernet 0/0 RBB(config-if)# ip address 200.0.1.2 255.255.255.0 RBB(config-if)# description RBB—>FW1 RBB(config-if)# no shutdown RBB(config-if)# interface fastethernet 0/1 RBB(config-if)# ip address 200.0.2.2 255.255.255.0 RBB(config-if)# description RBB—>FW2 RBB(config-if)# no shutdown RBB(config-if)# interface loopback 0 RBB(config-if)# ip address 189.0.0.1 255.255.255.0 RBB(config-if)# description +++Public Web Server+++ RBB(config-if)# end RBB# copy running-config startup-config ——————————————————————————– Tarefa 5: Testando a conectividade 34. Um teste de conectividade bastante comum é usando pings. Vamos checar se as interfaces do FIREWALL 1 respondem às próprias requisições ping. FIREWALL1# ping 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 200.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ——————————————————————————– 35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost) FIREWALL1# ping insidehost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms ——————————————————————————– 36. Teste a conectividade com o servidor web (bastionhost). FIREWALL1# ping bastionhost Type escape sequence to abort.

14 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms ——————————————————————————– 37. Teste a conectividade com R1. FIREWALL1# ping 10.0.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms ——————————————————————————– 38. Teste a conectividade com RBB. FIREWALL1# ping 200.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms ——————————————————————————– 39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2. FIREWALL1# ping 200.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms ——————————————————————————– 40. Vamos testar se a configuração de NAT está funcionando acessando o servidor web no endereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisição partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisição partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexão TCP será totalmente rastreada pelo PIX e o tráfego de retorno será permitido sem restrições, porque o pedido de conexão TCP partiu da rede interna. Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1. Você deve receber a página web armazenada no router RBB. ——————————————————————————– 41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que um endereço do pool global foi usado nesta conexão. FIREWALL1# show xlate 1 in use, 9 most used Global 200.0.1.20 Local insidehost ——————————————————————————– 42. Analise mais detalhadamente com o auxílio do comando show local-host. FIREWALL1# show local-host insidehost Interface outside: 0 active, 3 maximum active, 0 denied

15 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Interface dmz: 0 active, 1 maximum active, 0 denied Interface inside: 1 active, 1 maximum active, 0 denied local host: , TCP flow count/limit = 0/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited Xlate: Global 200.0.1.20 Local insidehost ——————————————————————————– 43. Desafio Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessível aos hosts da rede interna. ——————————————————————————– Tarefa 6: Configurando um servidor syslog Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon. 44. Comece ativando o log de eventos no pix. FIREWALL1(config)# logging enable ——————————————————————————– 45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor está localizado e o endereço ou o nome do servidor. FIREWALL1(config)# logging host inside insidehost ——————————————————————————– 46. Configure o nível das mensagens de log com o comando logging trap. FIREWALL1(config)# logging trap ? configure mode commands/options: Enter syslog level (0 – 7) WORD Specify the name of logging list alerts critical debugging emergencies errors informational notifications warnings FIREWALL1(config)# logging trap debugging FIREWALL1(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled

16 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Deny Conn when Queue Full: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, facility 20, 3 messages logged Logging to inside insidehost History logging: disabled Device ID: disabled Mail logging: disabled ASDM logging: disabled FIREWALL1(config)# ——————————————————————————– 47. Partindo de R1, dê um ping na interface inside do pix. R1# ping 10.0.1.1 !!!!! ——————————————————————————– 48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings. ——————————————————————————– 49. Desative o log. FIREWALL1(config)# no logging trap FIREWALL1(config)# no logging enable

LAB: Configuração do PIX Firewall

2

Print

PDF
Curtir Uma pessoa curtiu isso. Seja o primeiro entre seus amigos.

Gostou disso? Conte para todos
Tweet 0

Related posts: 1. Tutorial GNS3 2. Manual de Laboratórios 3. Exercícios: CCNA 1 Módulo 11 – Exploration v4.0
About the author

emersonmeh
Visit Authors Website

17 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

If you enjoyed this article, please consider sharing it! Tagged with: CCNA Security • configuração • firewall • lab • pix • troubleshooting • tutorial

Profile
Sign in with Twitter Sign in with Facebook or Name Email Website Comment
Not published

Digite as duas palavras:

1 Reply 1 Comment 0 Tweets 0 Facebook 0 Pingbacks Last reply was 272 dias ago

1.

Daniel Vieceli View 272 dias ago Obrigado,tenho um Cisco PIX,vou tentar configurar. Responder

Page 1 of 1 1 Obrigado pela visita! Sinta-se livre para participar de discussões, deixando COMENTÁRIOS, e fique atualizado, assinando o feed RSS

Comentários
Fabiano em Questões Diárias romildo chaves gripp em Vídeo-aulas Geison em Questões Diárias

18 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Curso

Twitter
Estude CCNA

estudeccna
bernardesrafael Participe, divulgue! Serão webcasts rápidos, "drops de TI" facebook.com/events/2154364…
4 hours ago reply retweet favorite

vocesa Dica para preservar a produtividade: mantenha o cérebro satisfeito bit.ly/Io8qKY
2 days ago reply retweet favorite

estudeccna @ivanildogalvao muita gente fera lá - Grupo EstudeCCNA estudeccna.com.br/grupo-de-estudo #CCNA #Cisco
2 days ago reply retweet favorite

estudeccna Opa, grande honra ñ deixe de participar do grupo. RT @ivanildogalvao: @estudeccna Estou fazendo o curso na @dltec e acompanho seu blog :-)
2 days ago reply retweet favorite

Join the conversation

Grupo EstudeCCNA

Participe do grupo EstudeCCNA E-mail: Visitar este grupo

Links
19 de 21 29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

9tut – Exércicios Práticos Bentow – Guia de estudo Brainwork's blog CCNA – Last minute revision Curso CCNA – DlteC do Brasil Diogo Fernandes Exames e exercícios GNS3-labs.com GNS3Vault Labs IPv6 Certifications Link State NetAcad Advantage Netfinders Brasil No Mundo das Redes Organização das Executivas de TI TICNICS – Redes de Computadores Vinícius Machado

Tags
640-802 ACL carreira CCENT
Internet Juniper lab laboratório livro

CCNA CCNA 2 Certificação CISCO configuração curso
modelo osi
NAT online

Download ebook EIGRP exame exercícios Exploration v4.0 Frame Relay gratuito grátis
OSPF

Packet tracer protocolo redes revisão roteador

roteadores roteamento Simulado Switch switches TCP/IP

tutorial video VLSM VTP vídeo aula WAN

Painel
Registrar-se Login id="social_login">Log in Posts RSS RSS dos comentários WordPress.org

American Power Conversion Nobreak Apc...
Dell 10x R$ 46,00

Iomega Armazenamento De Rede Home Med...
Dell 10x R$ 70,00

20 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Home Posts Groups HD Exercícios Eu SOU CCNA Vídeo-aulas Contato © 2010 - 2011 Estude CCNA

21 de 21

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

estudeccna.com.br

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

LAB: Configuração do PIX Firewall
On 9 de julho de 2011, in Laboratórios, Tutoriais, by emersonmeh Tutorial completo com passo a passo e troubleshooting de todas as configurações feitas. Neste tutorial, é possivel configurar e efetuar o troubleshooting de todas as configurações que serão feitas. O Tutorial não foi feito por mim, o crédito é do Profº Aurio Tenório que ministra a matéria de Laboratório de Redes no Centro Universitário SENAC. Efetuei toda a configuração utilizando o GNS3. Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configuração básica do Firewall PIX. Façam bom proveito !!! Lab. – Configuração básica do PIX Objetivos: - Executar comandos de checagem - Configurar as interfaces do security appliance - Criar um pool global de globais e configurar NAT - Configurar roteamento através do appliance - Testar a conectividade das interfaces inside, outside e DMZ - Direcionar o log de eventos para um servidor syslog Topologia Laboratório Tarefa 1: Comandos gerais Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configuração. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxílio do professor para sanar as dúvidas. ——————————————————————————–

1 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

1. Acesse o pix FW1. No primeiro acesso ao device, você é direcionado ao prompt de usuário. Neste prompt, apenas alguns comandos de checagem podem ser executados. Você não consegue configurar o device neste prompt. pixfirewall> ——————————————————————————– 2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogação. pixfirewall> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC show Show running system information traceroute Trace route to destination ——————————————————————————– 3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter. pixfirewall> enable password: pixfirewall# ——————————————————————————– 4. Exiba a lista de comandos do prompt privilegiado. DICA: Pressione a barra de espaços para girar a página ou pressione Q (quit) para cancelar o resultado da saída. pixfirewall# ? aaa-server Specify a AAA server activation-key Modify activation-key asdm Disconnect a specific ASDM session blocks Set block diagnostic parameters capture Capture inbound and outbound packets on one or more interfaces cd Change current directory clear Reset functions client-update Execute client updates on all or specific tunnel-groups clock Manage the system clock configure Configure using various methods copy Copy from one file to another cpu general CPU stats collection tools crashinfo Crash information crypto Execute crypto Commands debug Debugging functions (see also ‘undebug’)

2 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

delete Delete a file dir List files on a filesystem disable Exit from privileged mode downgrade Downgrade the file system and reboot dynamic-access-policy-config Activates the DAP selection configuration file. eou EAPoUDP erase Erase a filesystem … ——————————————————————————– 5. O comando show running-config mostra a configuração corrente sendo executada pelo device. DICA: Use a tecla TAB para completar os comandos. Você também pode abreviar os comandos. pixfirewall# show running-config (show run) : Saved : PIX Version 8.0(3) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! … ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh

3 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99 : end ——————————————————————————– 6. Execute o comando show version para identificar as capacidades do device e o tipo de licença do software. Este comando mostra também a quantidade de memória que o device possui, o número de interfaces, assim como a versão do PixOS sendo executada. pixfirewall# show version Cisco PIX Security Appliance Software Version 8.0(3) Compiled on Tue 06-Nov-07 19:50 by builders System image file is “Unknown, monitor mode tftp booted image” Config file at boot was “startup-config” pixfirewall up 3 mins 24 secs Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz Flash E28F128J3 @ 0xfff00000, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: 1: 2: 3: 4: Ext: Ext: Ext: Ext: Ext: Ethernet0 : Ethernet1 : Ethernet2 : Ethernet3 : Ethernet4 : address is 0000.ab85.8e00, irq 9 address is 0000.ab85.8e01, irq 11 address is 0000.ab85.8e02, irq 11 address is 0000.abcd.ef03, irq 11 address is 0000.abcd.ef04, irq 11

Licensed features for this platform: Maximum Physical Interfaces : 10 Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited

4 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

This platform has an Unrestricted (UR) license. Serial Number: 808062467 Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084 Configuration has not been modified since last system restart. ——————————————————————————– 7. O comando show history mostra o histórico de comandos executados. pixfirewall# show history enable show running-config show version show history ——————————————————————————– 8. Qualquer configuração deve ser executada a partir do prompt de configuração global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1. pixfirewall# configure terminal pixfirewall(config)# hostname FIREWALL1 FIREWALL1(config)# ——————————————————————————– 9. A feature names permite que você atribua nomes aos devices ao invés de referenciar seus endereços IP. Para usar essa feature, você precisa ativá-la com o comando names. FIREWALL1(config)# names ——————————————————————————– 10. Atribua o nome bastionhost para o servidor web na DMZ. FIREWALL1(config)# name 172.16.1.10 bastionhost ——————————————————————————– 11. Atribua o nome insidehost para o PC da rede interna. FIREWALL1(config)# name 10.0.1.3 insidehost ——————————————————————————– 12. Salve suas configurações para a memória flash. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56 1902 bytes copied in 1.30 secs (1902 bytes/sec) [OK] ——————————————————————————– Tarefa 2: Configuração das interfaces 13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configuração global, use o comando interface mais o nome e

5 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

número da interface. Comece configurando a interface Ethernet0 (inside). Note a mudança de prompt para (config-if) sinalizando que você está configurando uma interface. FIREWALL1(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 FIREWALL1(config)# interface ethernet ? configure mode commands/options: Ethernet interface number FIREWALL1(config)# interface ethernet 0 FIREWALL1(config-if)# NOTA: Use o ponto de interrogação sempre que precisar de auxílio para complementar um comando, ou mesmo quando estiver em dúvida quanto à palavra correta de um comando. Por exemplo, para saber quantos comandos começam com name, complemente a palavra name com um ponto de interrogação, sem espaços, conforme ilustrado a seguir. FIREWALL1(config-if)# name? interface mode commands/options: nameif configure mode commands/options: name names ——————————————————————————– 14. Cinco configurações precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif. IP address: Endereço IP da interface. Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociação). Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociação. Recomendamos sempre configurar a interface para trabalhar em full-duplex. Security-level: Nível de segurança entre 0 e 100, onde 100 é o nível máximo de segurança e 0 o nível mínimo. Tráfego inbound (entrando) significa tráfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Tráfego outbound (saindo) significa tráfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O tráfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberação explícita (access-lists). É automaticamente bloqueado pelo PIX. Além disso, interfaces com níveis de segurança iguais não são capazes de se comunicar. Nameif: Nome da interface. Dois nomes são padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface é DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso público. Qualquer interface diferente de inside assume security-level 0.

6 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Portanto, configure estes cinco parâmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereço IP da interface. Ao finalizar, ligue a interface com o comando no shutdown. FIREWALL1(config-if)# nameif inside INFO: Security level for “inside” set to 100 by default. FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 15. Confira se a interface está administrativamente up e operacional. FIREWALL1(config)# show interface eth0 Interface Ethernet0 “inside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Traffic Statistics for “inside”: 128 packets input, 76758 bytes 0 packets output, 0 bytes 128 packets dropped 1 minute input rate 2 pkts/sec, 1279 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 2 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec ——————————————————————————– 16. Confira as configurações da interface com o comando show running-config interface eth0. Diferente de um router, um pix permite a leitura de seções do arquivo de configuração. FIREWALL1(config)# show run interface eth0 ! interface Ethernet0 speed 100 duplex full nameif inside

7 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

security-level 100 ip address 10.0.1.1 255.255.255.0 FIREWALL1(config)# ——————————————————————————– 17. Configure também as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina o security-level da interface eth1 em 50. FIREWALL1(config)# interface ethernet1 FIREWALL1(config-if)# nameif dmz INFO: Security level for “dmz” set to 0 by default. FIREWALL1(config-if)# security-level 50 FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# interface eth2 FIREWALL1(config-if)# nameif outside INFO: Security level for “outside” set to 0 by default. FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit ——————————————————————————– 18. Confira as configurações das interfaces. FIREWALL1(config)# show run interface ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet1 speed 100 duplex full nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet2 speed 100 duplex full nameif outside security-level 0 ip address 200.0.1.1 255.255.255.0 ! …

8 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

——————————————————————————– 19. Garanta que as interfaces estejam ativas e operacionais. FIREWALL1(config)# show interface Interface Ethernet0 “inside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) … Interface Ethernet1 “dmz”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e01, MTU 1500 IP address 172.16.1.10, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) … Interface Ethernet2 “outside”, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e02, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 1 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/1) software (0/1) ——————————————————————————–

9 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

20. Você pode usar filtros para selecionar um trecho específico da saída de um comando. Por exemplo, você poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expressão entre parênteses de regex (Regular Expression). FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC) Interface Ethernet0 “inside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f500, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 Interface Ethernet1 “dmz”, is up, line protocol is up Full-Duplex(Full-duplex), 10 Mbps(10 Mbps) MAC address 0000.ab33.f501, MTU 1500 IP address 172.16.1.1, subnet mask 255.255.255.0 Interface Ethernet2 “outside”, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f502, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 Interface Ethernet3 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef03, MTU not set IP address unassigned Interface Ethernet4 “”, is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef04, MTU not set IP address unassigned ——————————————————————————– 21. Com o comando show ip address você confere rapidamente o nome e o endereço IP configurado na interface. FIREWALL1(config)# show ip address System IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual ——————————————————————————– 22. Com o comando show nameif você confere rapidamente o nome e os security-levels. FIREWALL1(config)# show nameif Interface Name Security Ethernet0 inside 100 Ethernet1 dmz 50 Ethernet2 outside 0

10 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

——————————————————————————– 23. Use o comando show names para checar a configuração do mapeamento de IPs para nomes. FIREWALL1(config)# show names name 10.0.1.3 insidehost name 172.16.1.10 bastionhost ——————————————————————————– 24. Desafio Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2. ——————————————————————————– 25. Salve suas configurações. FIREWALL1(config)# wr Building configuration… Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916 2067 bytes copied in 1.220 secs (2067 bytes/sec) [OK] FIREWALL1(config)# ——————————————————————————– Tarefa 3: Configuração de endereços globais, NAT dinâmico e roteamento 26. Comece ativando a capacidade NAT. FIREWALL1(config)# nat-control ——————————————————————————– 27. Crie um pool global de endereços quentes (válidos). Use o comando global associando este pool à interface outside e amarrando ao ID 1. Este pool de endereços será usado para as conexões de saída. Ao final, confira as configurações. FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 FIREWALL1(config)# show run global global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 ——————————————————————————– 28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configurações. FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0 FIREWALL1(config)# show run nat nat (inside) 1 10.0.1.0 255.255.255.0 NOTA: A amarração de um par de comandos nat/global se dá através do NAT ID. ——————————————————————————– 29. Agora configure uma rota default para o tráfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface

11 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

para onde o tráfego será direcionado, a rede e máscara destino e o endereço IP de próximo salto. FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2 NOTA: A maneira correta de interpretar o comando acima é a seguinte: Roteie para a interface outside tráfego para qualquer destino (0.0.0.0/0), usando como próximo salto o roteador RBB. Se quisesse rotear para uma subnet específica, bastaria substituir o endereço 0.0.0.0/0 pelo endereço e máscara da subnet. ——————————————————————————– 30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default. FIREWALL1(config)# show route Codes: C – connected, S – static, I – IGRP, R – RIP, M – mobile, B – BGP D – EIGRP, EX – EIGRP external, O – OSPF, IA – OSPF inter area N1 – OSPF NSSA external type 1, N2 – OSPF NSSA external type 2 E1 – OSPF external type 1, E2 – OSPF external type 2, E – EGP i – IS-IS, L1 – IS-IS level-1, L2 – IS-IS level-2, ia – IS-IS inter area * – candidate default, U – per-user static route, o – ODR P – periodic downloaded static route Gateway of last resort is 200.0.1.2 to network 0.0.0.0 C 200.0.1.0 255.255.255.0 is directly connected, outside C 10.0.1.0 255.255.255.0 is directly connected, inside C 172.16.1.0 255.255.255.0 is directly connected, dmz S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside ——————————————————————————– 31. Salve suas configurações. FIREWALL1(config)# write memory Building configuration… Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d 2134 bytes copied in 1.190 secs (2134 bytes/sec) [OK] ——————————————————————————– 32. Desafio Repita o procedimento anterior de configuração e configure no FW2 um pool global de endereços, NAT inside e uma rota default. Confira as configurações. ——————————————————————————– Tarefa 4: Configuração dos roteadores 33. Agora configure hostname e o endereço IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereço da interface diretamente conectada do PIX. Router> enable Router# configure terminal

12 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Router(config)# hostname R1 R1(config)# interface fastethernet 0/0 R1(config-if)# ip address 10.0.1.100 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# no ip routing R1(config)# ip default-gateway 10.0.1.1 R1(config)# end R1# copy running-config startup-config Destination filename [startup-config]? Building configuration… [OK] R1# ————————— Router> enable Router# configure terminal Router(config)# hostname R2 R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.0.2.100 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# exit R2(config)# no ip routing R2(config)# ip default-gateway 10.0.2.1 R2(config)# end R2# copy running-config startup-config ————————— Router> enable Router# configure terminal Router(config)# hostname RBB RBB(config)# interface fastethernet 0/0 RBB(config-if)# ip address 200.0.1.2 255.255.255.0 RBB(config-if)# description RBB—>FW1 RBB(config-if)# no shutdown RBB(config-if)# interface fastethernet 0/1 RBB(config-if)# ip address 200.0.2.2 255.255.255.0 RBB(config-if)# description RBB—>FW2 RBB(config-if)# no shutdown RBB(config-if)# interface loopback 0 RBB(config-if)# ip address 189.0.0.1 255.255.255.0 RBB(config-if)# description +++Public Web Server+++ RBB(config-if)# end RBB# copy running-config startup-config ——————————————————————————– Tarefa 5: Testando a conectividade 34. Um teste de conectividade bastante comum é usando pings. Vamos checar se as interfaces do FIREWALL 1 respondem às próprias requisições ping. FIREWALL1# ping 10.0.1.1 Type escape sequence to abort.
29/04/2012 21:20

13 de 17

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 200.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms ——————————————————————————– 35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost) FIREWALL1# ping insidehost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms ——————————————————————————– 36. Teste a conectividade com o servidor web (bastionhost). FIREWALL1# ping bastionhost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms ——————————————————————————– 37. Teste a conectividade com R1. FIREWALL1# ping 10.0.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms ——————————————————————————– 38. Teste a conectividade com RBB. FIREWALL1# ping 200.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms ——————————————————————————–

14 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

39. Neste ponto você já deve ser capaz de alcançar a interface outside do FIREWALL 2. FIREWALL1# ping 200.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms ——————————————————————————– 40. Vamos testar se a configuração de NAT está funcionando acessando o servidor web no endereço . Lembre-se que esta é uma conexão outbound, ou seja, uma requisição partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisição partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexão TCP será totalmente rastreada pelo PIX e o tráfego de retorno será permitido sem restrições, porque o pedido de conexão TCP partiu da rede interna. Abra o navegador no host da inside e digite no campo de endereço: http://189.0.0.1. Você deve receber a página web armazenada no router RBB. ——————————————————————————– 41. Execute o comando xlate para analisar a tabela de traduções do PIX. Note que um endereço do pool global foi usado nesta conexão. FIREWALL1# show xlate 1 in use, 9 most used Global 200.0.1.20 Local insidehost ——————————————————————————– 42. Analise mais detalhadamente com o auxílio do comando show local-host. FIREWALL1# show local-host insidehost Interface outside: 0 active, 3 maximum active, 0 denied Interface dmz: 0 active, 1 maximum active, 0 denied Interface inside: 1 active, 1 maximum active, 0 denied local host: , TCP flow count/limit = 0/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited Xlate: Global 200.0.1.20 Local insidehost ——————————————————————————– 43. Desafio Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessível aos hosts da rede interna. ——————————————————————————– Tarefa 6: Configurando um servidor syslog Garanta que o servidor syslog esteja ligado e que o serviço syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon. 44. Comece ativando o log de eventos no pix.

15 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

FIREWALL1(config)# logging enable ——————————————————————————– 45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor está localizado e o endereço ou o nome do servidor. FIREWALL1(config)# logging host inside insidehost ——————————————————————————– 46. Configure o nível das mensagens de log com o comando logging trap. FIREWALL1(config)# logging trap ? configure mode commands/options: Enter syslog level (0 – 7) WORD Specify the name of logging list alerts critical debugging emergencies errors informational notifications warnings FIREWALL1(config)# logging trap debugging FIREWALL1(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled Deny Conn when Queue Full: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, facility 20, 3 messages logged Logging to inside insidehost History logging: disabled Device ID: disabled Mail logging: disabled ASDM logging: disabled FIREWALL1(config)# ——————————————————————————– 47. Partindo de R1, dê um ping na interface inside do pix. R1# ping 10.0.1.1 !!!!! ——————————————————————————– 48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings. ——————————————————————————–

16 de 17

29/04/2012 21:20

LAB: Configuração do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

49. Desative o log. FIREWALL1(config)# no logging trap FIREWALL1(config)# no logging enable Gostou disso? Conte para todos LAB: Configuração do PIX Firewall Related posts: 1. Tutorial GNS3 2. Manual de Laboratórios 3. Exercícios: CCNA 1 Módulo 11 – Exploration v4.0
About the author

emersonmeh
If you enjoyed this article, please consider sharing it!

17 de 17

29/04/2012 21:20

Sponsor Documents

Or use your account on DocShare.tips

Hide

Forgot your password?

Or register your new account on DocShare.tips

Hide

Lost your password? Please enter your email address. You will receive a link to create a new password.

Back to log-in

Close