LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

professional wordpress themes

Estude CCNA
Compartilhando idias e Experincias

Posts Groups HD Exerccios Eu SOU CCNA Vdeo-aulas Contato

Conhea um Roteador e um Switch Cisco por dentro Configurao Bsica do Roteador usando SDM

LAB: Configurao do PIX Firewall

On 9 de julho de 2011, in Laboratrios, Tutoriais, by emersonmeh Tutorial completo com passo a passo e troubleshooting de todas as configuraes feitas. Print PDF

Neste tutorial, possivel configurar e efetuar o troubleshooting de todas as configuraes que sero feitas. O Tutorial no foi feito por mim, o crdito do Prof Aurio Tenrio que ministra a matria de Laboratrio de Redes no Centro Universitrio SENAC. Efetuei toda a configurao utilizando o GNS3. Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configurao bsica do Firewall PIX. Faam bom proveito !!!

1 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Lab. Configurao bsica do PIX Objetivos: - Executar comandos de checagem - Configurar as interfaces do security appliance - Criar um pool global de globais e configurar NAT - Configurar roteamento atravs do appliance - Testar a conectividade das interfaces inside, outside e DMZ - Direcionar o log de eventos para um servidor syslog Topologia

Laboratrio Tarefa 1: Comandos gerais Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configurao. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxlio do professor para sanar as dvidas. 1. Acesse o pix FW1. No primeiro acesso ao device, voc direcionado ao prompt de usurio. Neste prompt, apenas alguns comandos de checagem podem ser executados. Voc no consegue configurar o device neste prompt. pixfirewall> 2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogao. pixfirewall> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC

2 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

show Show running system information traceroute Trace route to destination 3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter. pixfirewall> enable password: pixfirewall# 4. Exiba a lista de comandos do prompt privilegiado. DICA: Pressione a barra de espaos para girar a pgina ou pressione Q (quit) para cancelar o resultado da sada. pixfirewall# ? aaa-server Specify a AAA server activation-key Modify activation-key asdm Disconnect a specific ASDM session blocks Set block diagnostic parameters capture Capture inbound and outbound packets on one or more interfaces cd Change current directory clear Reset functions client-update Execute client updates on all or specific tunnel-groups clock Manage the system clock configure Configure using various methods copy Copy from one file to another cpu general CPU stats collection tools crashinfo Crash information crypto Execute crypto Commands debug Debugging functions (see also undebug) delete Delete a file dir List files on a filesystem disable Exit from privileged mode downgrade Downgrade the file system and reboot dynamic-access-policy-config Activates the DAP selection configuration file. eou EAPoUDP erase Erase a filesystem 5. O comando show running-config mostra a configurao corrente sendo executada pelo device. DICA: Use a tecla TAB para completar os comandos. Voc tambm pode abreviar os comandos. pixfirewall# show running-config (show run) : Saved :

3 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

PIX Version 8.0(3) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99 : end 6. Execute o comando show version para identificar as capacidades do device e o tipo de licena do software. Este comando mostra tambm a quantidade de memria que o device possui, o nmero de interfaces, assim como a verso do PixOS sendo executada.

4 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

pixfirewall# show version Cisco PIX Security Appliance Software Version 8.0(3) Compiled on Tue 06-Nov-07 19:50 by builders System image file is Unknown, monitor mode tftp booted image Config file at boot was startup-config pixfirewall up 3 mins 24 secs Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz Flash E28F128J3 @ 0xfff00000, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: 1: 2: 3: 4: Ext: Ext: Ext: Ext: Ext: Ethernet0 : Ethernet1 : Ethernet2 : Ethernet3 : Ethernet4 : address is 0000.ab85.8e00, irq 9 address is 0000.ab85.8e01, irq 11 address is 0000.ab85.8e02, irq 11 address is 0000.abcd.ef03, irq 11 address is 0000.abcd.ef04, irq 11

Licensed features for this platform: Maximum Physical Interfaces : 10 Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited This platform has an Unrestricted (UR) license. Serial Number: 808062467 Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084 Configuration has not been modified since last system restart. 7. O comando show history mostra o histrico de comandos executados. pixfirewall# show history enable show running-config show version show history 8. Qualquer configurao deve ser executada a partir do prompt de configurao global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1. pixfirewall# configure terminal
5 de 21 29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

pixfirewall(config)# hostname FIREWALL1 FIREWALL1(config)# 9. A feature names permite que voc atribua nomes aos devices ao invs de referenciar seus endereos IP. Para usar essa feature, voc precisa ativ-la com o comando names. FIREWALL1(config)# names 10. Atribua o nome bastionhost para o servidor web na DMZ. FIREWALL1(config)# name 172.16.1.10 bastionhost 11. Atribua o nome insidehost para o PC da rede interna. FIREWALL1(config)# name 10.0.1.3 insidehost 12. Salve suas configuraes para a memria flash. FIREWALL1(config)# write memory Building configuration Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56 1902 bytes copied in 1.30 secs (1902 bytes/sec) [OK] Tarefa 2: Configurao das interfaces 13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configurao global, use o comando interface mais o nome e nmero da interface. Comece configurando a interface Ethernet0 (inside). Note a mudana de prompt para (config-if) sinalizando que voc est configurando uma interface. FIREWALL1(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 FIREWALL1(config)# interface ethernet ? configure mode commands/options: Ethernet interface number FIREWALL1(config)# interface ethernet 0 FIREWALL1(config-if)# NOTA: Use o ponto de interrogao sempre que precisar de auxlio para complementar um comando, ou mesmo quando estiver em dvida quanto palavra correta de um comando. Por exemplo, para saber quantos comandos comeam com name, complemente a palavra name com um ponto de interrogao, sem espaos, conforme ilustrado a seguir. FIREWALL1(config-if)# name?

6 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

interface mode commands/options: nameif configure mode commands/options: name names 14. Cinco configuraes precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif. IP address: Endereo IP da interface. Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociao). Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociao. Recomendamos sempre configurar a interface para trabalhar em full-duplex. Security-level: Nvel de segurana entre 0 e 100, onde 100 o nvel mximo de segurana e 0 o nvel mnimo. Trfego inbound (entrando) significa trfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Trfego outbound (saindo) significa trfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O trfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberao explcita (access-lists). automaticamente bloqueado pelo PIX. Alm disso, interfaces com nveis de segurana iguais no so capazes de se comunicar. Nameif: Nome da interface. Dois nomes so padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso pblico. Qualquer interface diferente de inside assume security-level 0. Portanto, configure estes cinco parmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereo IP da interface. Ao finalizar, ligue a interface com o comando no shutdown. FIREWALL1(config-if)# nameif inside INFO: Security level for inside set to 100 by default. FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit 15. Confira se a interface est administrativamente up e operacional. FIREWALL1(config)# show interface eth0 Interface Ethernet0 inside, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns
7 de 21 29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Traffic Statistics for inside: 128 packets input, 76758 bytes 0 packets output, 0 bytes 128 packets dropped 1 minute input rate 2 pkts/sec, 1279 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 2 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec 16. Confira as configuraes da interface com o comando show running-config interface eth0. Diferente de um router, um pix permite a leitura de sees do arquivo de configurao. FIREWALL1(config)# show run interface eth0 ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 FIREWALL1(config)# 17. Configure tambm as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina o security-level da interface eth1 em 50. FIREWALL1(config)# interface ethernet1 FIREWALL1(config-if)# nameif dmz INFO: Security level for dmz set to 0 by default. FIREWALL1(config-if)# security-level 50 FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# interface eth2 FIREWALL1(config-if)# nameif outside INFO: Security level for outside set to 0 by default. FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit 18. Confira as configuraes das interfaces.

8 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

FIREWALL1(config)# show run interface ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet1 speed 100 duplex full nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet2 speed 100 duplex full nameif outside security-level 0 ip address 200.0.1.1 255.255.255.0 ! 19. Garanta que as interfaces estejam ativas e operacionais. FIREWALL1(config)# show interface Interface Ethernet0 inside, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Interface Ethernet1 dmz, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e01, MTU 1500 IP address 172.16.1.10, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort

9 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Interface Ethernet2 outside, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e02, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 1 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/1) software (0/1) 20. Voc pode usar filtros para selecionar um trecho especfico da sada de um comando. Por exemplo, voc poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expresso entre parnteses de regex (Regular Expression). FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC) Interface Ethernet0 inside, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f500, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 Interface Ethernet1 dmz, is up, line protocol is up Full-Duplex(Full-duplex), 10 Mbps(10 Mbps) MAC address 0000.ab33.f501, MTU 1500 IP address 172.16.1.1, subnet mask 255.255.255.0 Interface Ethernet2 outside, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f502, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 Interface Ethernet3 , is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef03, MTU not set IP address unassigned Interface Ethernet4 , is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef04, MTU not set IP address unassigned

10 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

21. Com o comando show ip address voc confere rapidamente o nome e o endereo IP configurado na interface. FIREWALL1(config)# show ip address System IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual 22. Com o comando show nameif voc confere rapidamente o nome e os security-levels. FIREWALL1(config)# show nameif Interface Name Security Ethernet0 inside 100 Ethernet1 dmz 50 Ethernet2 outside 0 23. Use o comando show names para checar a configurao do mapeamento de IPs para nomes. FIREWALL1(config)# show names name 10.0.1.3 insidehost name 172.16.1.10 bastionhost 24. Desafio Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2. 25. Salve suas configuraes. FIREWALL1(config)# wr Building configuration Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916 2067 bytes copied in 1.220 secs (2067 bytes/sec) [OK] FIREWALL1(config)# Tarefa 3: Configurao de endereos globais, NAT dinmico e roteamento 26. Comece ativando a capacidade NAT. FIREWALL1(config)# nat-control

11 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

27. Crie um pool global de endereos quentes (vlidos). Use o comando global associando este pool interface outside e amarrando ao ID 1. Este pool de endereos ser usado para as conexes de sada. Ao final, confira as configuraes. FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 FIREWALL1(config)# show run global global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configuraes. FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0 FIREWALL1(config)# show run nat nat (inside) 1 10.0.1.0 255.255.255.0 NOTA: A amarrao de um par de comandos nat/global se d atravs do NAT ID. 29. Agora configure uma rota default para o trfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface para onde o trfego ser direcionado, a rede e mscara destino e o endereo IP de prximo salto. FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2 NOTA: A maneira correta de interpretar o comando acima a seguinte: Roteie para a interface outside trfego para qualquer destino (0.0.0.0/0), usando como prximo salto o roteador RBB. Se quisesse rotear para uma subnet especfica, bastaria substituir o endereo 0.0.0.0/0 pelo endereo e mscara da subnet. 30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default. FIREWALL1(config)# show route Codes: C connected, S static, I IGRP, R RIP, M mobile, B BGP D EIGRP, EX EIGRP external, O OSPF, IA OSPF inter area N1 OSPF NSSA external type 1, N2 OSPF NSSA external type 2 E1 OSPF external type 1, E2 OSPF external type 2, E EGP i IS-IS, L1 IS-IS level-1, L2 IS-IS level-2, ia IS-IS inter area * candidate default, U per-user static route, o ODR P periodic downloaded static route Gateway of last resort is 200.0.1.2 to network 0.0.0.0 C 200.0.1.0 255.255.255.0 is directly connected, outside C 10.0.1.0 255.255.255.0 is directly connected, inside C 172.16.1.0 255.255.255.0 is directly connected, dmz S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside

12 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

31. Salve suas configuraes. FIREWALL1(config)# write memory Building configuration Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d 2134 bytes copied in 1.190 secs (2134 bytes/sec) [OK] 32. Desafio Repita o procedimento anterior de configurao e configure no FW2 um pool global de endereos, NAT inside e uma rota default. Confira as configuraes. Tarefa 4: Configurao dos roteadores 33. Agora configure hostname e o endereo IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereo da interface diretamente conectada do PIX. Router> enable Router# configure terminal Router(config)# hostname R1 R1(config)# interface fastethernet 0/0 R1(config-if)# ip address 10.0.1.100 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# no ip routing R1(config)# ip default-gateway 10.0.1.1 R1(config)# end R1# copy running-config startup-config Destination filename [startup-config]? Building configuration [OK] R1# Router> enable Router# configure terminal Router(config)# hostname R2 R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.0.2.100 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# exit R2(config)# no ip routing R2(config)# ip default-gateway 10.0.2.1 R2(config)# end R2# copy running-config startup-config Router> enable Router# configure terminal

13 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Router(config)# hostname RBB RBB(config)# interface fastethernet 0/0 RBB(config-if)# ip address 200.0.1.2 255.255.255.0 RBB(config-if)# description RBB>FW1 RBB(config-if)# no shutdown RBB(config-if)# interface fastethernet 0/1 RBB(config-if)# ip address 200.0.2.2 255.255.255.0 RBB(config-if)# description RBB>FW2 RBB(config-if)# no shutdown RBB(config-if)# interface loopback 0 RBB(config-if)# ip address 189.0.0.1 255.255.255.0 RBB(config-if)# description +++Public Web Server+++ RBB(config-if)# end RBB# copy running-config startup-config Tarefa 5: Testando a conectividade 34. Um teste de conectividade bastante comum usando pings. Vamos checar se as interfaces do FIREWALL 1 respondem s prprias requisies ping. FIREWALL1# ping 10.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 200.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost) FIREWALL1# ping insidehost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms 36. Teste a conectividade com o servidor web (bastionhost). FIREWALL1# ping bastionhost Type escape sequence to abort.

14 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms 37. Teste a conectividade com R1. FIREWALL1# ping 10.0.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms 38. Teste a conectividade com RBB. FIREWALL1# ping 200.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms 39. Neste ponto voc j deve ser capaz de alcanar a interface outside do FIREWALL 2. FIREWALL1# ping 200.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms 40. Vamos testar se a configurao de NAT est funcionando acessando o servidor web no endereo . Lembre-se que esta uma conexo outbound, ou seja, uma requisio partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisio partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexo TCP ser totalmente rastreada pelo PIX e o trfego de retorno ser permitido sem restries, porque o pedido de conexo TCP partiu da rede interna. Abra o navegador no host da inside e digite no campo de endereo: http://189.0.0.1. Voc deve receber a pgina web armazenada no router RBB. 41. Execute o comando xlate para analisar a tabela de tradues do PIX. Note que um endereo do pool global foi usado nesta conexo. FIREWALL1# show xlate 1 in use, 9 most used Global 200.0.1.20 Local insidehost 42. Analise mais detalhadamente com o auxlio do comando show local-host. FIREWALL1# show local-host insidehost Interface outside: 0 active, 3 maximum active, 0 denied

15 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Interface dmz: 0 active, 1 maximum active, 0 denied Interface inside: 1 active, 1 maximum active, 0 denied local host: , TCP flow count/limit = 0/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited Xlate: Global 200.0.1.20 Local insidehost 43. Desafio Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessvel aos hosts da rede interna. Tarefa 6: Configurando um servidor syslog Garanta que o servidor syslog esteja ligado e que o servio syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon. 44. Comece ativando o log de eventos no pix. FIREWALL1(config)# logging enable 45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor est localizado e o endereo ou o nome do servidor. FIREWALL1(config)# logging host inside insidehost 46. Configure o nvel das mensagens de log com o comando logging trap. FIREWALL1(config)# logging trap ? configure mode commands/options: Enter syslog level (0 7) WORD Specify the name of logging list alerts critical debugging emergencies errors informational notifications warnings FIREWALL1(config)# logging trap debugging FIREWALL1(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled

16 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Deny Conn when Queue Full: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, facility 20, 3 messages logged Logging to inside insidehost History logging: disabled Device ID: disabled Mail logging: disabled ASDM logging: disabled FIREWALL1(config)# 47. Partindo de R1, d um ping na interface inside do pix. R1# ping 10.0.1.1 !!!!! 48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings. 49. Desative o log. FIREWALL1(config)# no logging trap FIREWALL1(config)# no logging enable

LAB: Configurao do PIX Firewall

Print

PDF
Curtir Uma pessoa curtiu isso. Seja o primeiro entre seus amigos.

Gostou disso? Conte para todos

Tweet 0

Related posts: 1. Tutorial GNS3 2. Manual de Laboratrios 3. Exerccios: CCNA 1 Mdulo 11 Exploration v4.0
About the author

emersonmeh
Visit Authors Website

17 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

If you enjoyed this article, please consider sharing it! Tagged with: CCNA Security configurao firewall lab pix troubleshooting tutorial

Profile
Sign in with Twitter Sign in with Facebook or Name Email Website Comment
Not published

Digite as duas palavras:

1 Reply 1 Comment 0 Tweets 0 Facebook 0 Pingbacks Last reply was 272 dias ago

1.

Daniel Vieceli View 272 dias ago Obrigado,tenho um Cisco PIX,vou tentar configurar. Responder

Page 1 of 1 1 Obrigado pela visita! Sinta-se livre para participar de discusses, deixando COMENTRIOS, e fique atualizado, assinando o feed RSS

Comentrios
Fabiano em Questes Dirias romildo chaves gripp em Vdeo-aulas Geison em Questes Dirias

18 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Curso

Twitter
Estude CCNA

estudeccna
bernardesrafael Participe, divulgue! Sero webcasts rpidos, "drops de TI" facebook.com/events/2154364
4 hours ago reply retweet favorite

vocesa Dica para preservar a produtividade: mantenha o crebro satisfeito bit.ly/Io8qKY

2 days ago reply retweet favorite

estudeccna @ivanildogalvao muita gente fera l - Grupo EstudeCCNA estudeccna.com.br/grupo-de-estudo #CCNA #Cisco
2 days ago reply retweet favorite

estudeccna Opa, grande honra deixe de participar do grupo. RT @ivanildogalvao: @estudeccna Estou fazendo o curso na @dltec e acompanho seu blog :-)
2 days ago reply retweet favorite

Join the conversation

Grupo EstudeCCNA

Participe do grupo EstudeCCNA E-mail: Visitar este grupo

Links
19 de 21 29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

9tut Exrcicios Prticos Bentow Guia de estudo Brainwork's blog CCNA Last minute revision Curso CCNA DlteC do Brasil Diogo Fernandes Exames e exerccios GNS3-labs.com GNS3Vault Labs IPv6 Certifications Link State NetAcad Advantage Netfinders Brasil No Mundo das Redes Organizao das Executivas de TI TICNICS Redes de Computadores Vincius Machado

Tags
640-802 ACL carreira CCENT
Internet Juniper lab laboratrio livro

CCNA CCNA 2 Certificao CISCO configurao curso

modelo osi
NAT online

Download ebook EIGRP exame exerccios Exploration v4.0 Frame Relay gratuito grtis
OSPF

Packet tracer protocolo redes reviso roteador

roteadores roteamento Simulado Switch switches TCP/IP

tutorial video VLSM VTP vdeo aula WAN

Painel
Registrar-se Login id="social_login">Log in Posts RSS RSS dos comentrios WordPress.org

American Power Conversion Nobreak Apc...

Dell 10x R$ 46,00

Iomega Armazenamento De Rede Home Med...

Dell 10x R$ 70,00

20 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Home Posts Groups HD Exerccios Eu SOU CCNA Vdeo-aulas Contato 2010 - 2011 Estude CCNA

21 de 21

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

estudeccna.com.br

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

LAB: Configurao do PIX Firewall

On 9 de julho de 2011, in Laboratrios, Tutoriais, by emersonmeh Tutorial completo com passo a passo e troubleshooting de todas as configuraes feitas. Neste tutorial, possivel configurar e efetuar o troubleshooting de todas as configuraes que sero feitas. O Tutorial no foi feito por mim, o crdito do Prof Aurio Tenrio que ministra a matria de Laboratrio de Redes no Centro Universitrio SENAC. Efetuei toda a configurao utilizando o GNS3. Espero que sirva para todos que tem a necessidade ( ou simplesmente o intuito de aprender ) de aprender como efetuar uma configurao bsica do Firewall PIX. Faam bom proveito !!! Lab. Configurao bsica do PIX Objetivos: - Executar comandos de checagem - Configurar as interfaces do security appliance - Criar um pool global de globais e configurar NAT - Configurar roteamento atravs do appliance - Testar a conectividade das interfaces inside, outside e DMZ - Direcionar o log de eventos para um servidor syslog Topologia Laboratrio Tarefa 1: Comandos gerais Complete os passos seguintes para se familiarizar com os comandos iniciais de checagem e configurao. Fique bastante atento para interpretar corretamente o resultado dos comandos e requisite o auxlio do professor para sanar as dvidas.

1 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

1. Acesse o pix FW1. No primeiro acesso ao device, voc direcionado ao prompt de usurio. Neste prompt, apenas alguns comandos de checagem podem ser executados. Voc no consegue configurar o device neste prompt. pixfirewall> 2. Exiba a lista de comandos deste prompt, digitando o ponto de interrogao. pixfirewall> ? clear Reset functions enable Turn on privileged commands exit Exit from the EXEC help Interactive help for commands login Log in as a particular user logout Exit from the EXEC ping Send echo messages quit Exit from the EXEC show Show running system information traceroute Trace route to destination 3. Entre no modo privilegiado com o comando enable. Quando requisitado por uma senha (password), apenas tecle Enter. pixfirewall> enable password: pixfirewall# 4. Exiba a lista de comandos do prompt privilegiado. DICA: Pressione a barra de espaos para girar a pgina ou pressione Q (quit) para cancelar o resultado da sada. pixfirewall# ? aaa-server Specify a AAA server activation-key Modify activation-key asdm Disconnect a specific ASDM session blocks Set block diagnostic parameters capture Capture inbound and outbound packets on one or more interfaces cd Change current directory clear Reset functions client-update Execute client updates on all or specific tunnel-groups clock Manage the system clock configure Configure using various methods copy Copy from one file to another cpu general CPU stats collection tools crashinfo Crash information crypto Execute crypto Commands debug Debugging functions (see also undebug)

2 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

delete Delete a file dir List files on a filesystem disable Exit from privileged mode downgrade Downgrade the file system and reboot dynamic-access-policy-config Activates the DAP selection configuration file. eou EAPoUDP erase Erase a filesystem 5. O comando show running-config mostra a configurao corrente sendo executada pelo device. DICA: Use a tecla TAB para completar os comandos. Voc tambm pode abreviar os comandos. pixfirewall# show running-config (show run) : Saved : PIX Version 8.0(3) ! hostname pixfirewall enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0 shutdown no nameif no security-level no ip address ! interface Ethernet1 shutdown no nameif no security-level no ip address ! ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect rsh

3 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

inspect rtsp inspect esmtp inspect sqlnet inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp ! service-policy global_policy global prompt hostname context Cryptochecksum:8155ed0f27cc702c56ac2f6a39becc99 : end 6. Execute o comando show version para identificar as capacidades do device e o tipo de licena do software. Este comando mostra tambm a quantidade de memria que o device possui, o nmero de interfaces, assim como a verso do PixOS sendo executada. pixfirewall# show version Cisco PIX Security Appliance Software Version 8.0(3) Compiled on Tue 06-Nov-07 19:50 by builders System image file is Unknown, monitor mode tftp booted image Config file at boot was startup-config pixfirewall up 3 mins 24 secs Hardware: PIX-525, 128 MB RAM, CPU Pentium II 1 MHz Flash E28F128J3 @ 0xfff00000, 16MB BIOS Flash AM29F400B @ 0xfffd8000, 32KB 0: 1: 2: 3: 4: Ext: Ext: Ext: Ext: Ext: Ethernet0 : Ethernet1 : Ethernet2 : Ethernet3 : Ethernet4 : address is 0000.ab85.8e00, irq 9 address is 0000.ab85.8e01, irq 11 address is 0000.ab85.8e02, irq 11 address is 0000.abcd.ef03, irq 11 address is 0000.abcd.ef04, irq 11

Licensed features for this platform: Maximum Physical Interfaces : 10 Maximum VLANs : 100 Inside Hosts : Unlimited Failover : Active/Active VPN-DES : Enabled VPN-3DES-AES : Enabled Cut-through Proxy : Enabled Guards : Enabled URL Filtering : Enabled Security Contexts : 2 GTP/GPRS : Disabled VPN Peers : Unlimited

4 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

This platform has an Unrestricted (UR) license. Serial Number: 808062467 Running Activation Key: 0x8f104b04 0xc48e0e7f 0xfcdfd51e 0x36bc5084 Configuration has not been modified since last system restart. 7. O comando show history mostra o histrico de comandos executados. pixfirewall# show history enable show running-config show version show history 8. Qualquer configurao deve ser executada a partir do prompt de configurao global. Entre neste prompt com o comando configure terminal e configure o hostname do PIX para FIREWALL1. pixfirewall# configure terminal pixfirewall(config)# hostname FIREWALL1 FIREWALL1(config)# 9. A feature names permite que voc atribua nomes aos devices ao invs de referenciar seus endereos IP. Para usar essa feature, voc precisa ativ-la com o comando names. FIREWALL1(config)# names 10. Atribua o nome bastionhost para o servidor web na DMZ. FIREWALL1(config)# name 172.16.1.10 bastionhost 11. Atribua o nome insidehost para o PC da rede interna. FIREWALL1(config)# name 10.0.1.3 insidehost 12. Salve suas configuraes para a memria flash. FIREWALL1(config)# write memory Building configuration Cryptochecksum: e6910082 d22f2fac ce83bbde cbc96b56 1902 bytes copied in 1.30 secs (1902 bytes/sec) [OK] Tarefa 2: Configurao das interfaces 13. Agora chegou o momento de configurar as interfaces do pix. Para configurar uma interface, no prompt de configurao global, use o comando interface mais o nome e

5 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

nmero da interface. Comece configurando a interface Ethernet0 (inside). Note a mudana de prompt para (config-if) sinalizando que voc est configurando uma interface. FIREWALL1(config)# interface ? configure mode commands/options: Ethernet IEEE 802.3 FIREWALL1(config)# interface ethernet ? configure mode commands/options: Ethernet interface number FIREWALL1(config)# interface ethernet 0 FIREWALL1(config-if)# NOTA: Use o ponto de interrogao sempre que precisar de auxlio para complementar um comando, ou mesmo quando estiver em dvida quanto palavra correta de um comando. Por exemplo, para saber quantos comandos comeam com name, complemente a palavra name com um ponto de interrogao, sem espaos, conforme ilustrado a seguir. FIREWALL1(config-if)# name? interface mode commands/options: nameif configure mode commands/options: name names 14. Cinco configuraes precisam ser executadas para colocar uma interface operacional: ip address, speed, duplex, security-level e nameif. IP address: Endereo IP da interface. Speed: Velocidade da interface (10 ou 100 Mbps, 1 Gbps (ASA) ou auto, para autonegociao). Duplex: Capacidade duplex. Pode assumir half, full ou auto, para autonegociao. Recomendamos sempre configurar a interface para trabalhar em full-duplex. Security-level: Nvel de segurana entre 0 e 100, onde 100 o nvel mximo de segurana e 0 o nvel mnimo. Trfego inbound (entrando) significa trfego fluindo de uma interface de security-level mais baixo para uma interface com security-level mais alto. Trfego outbound (saindo) significa trfego fluindo de uma interface com security-level mais alto para uma interface com security-level mais baixo. O trfego nunca flui diretamente de uma interface com security-level mais baixo para uma interface com security-level mais alto sem liberao explcita (access-lists). automaticamente bloqueado pelo PIX. Alm disso, interfaces com nveis de segurana iguais no so capazes de se comunicar. Nameif: Nome da interface. Dois nomes so padronizados: inside e outside. A interface inside (interna) assume automaticamente o security-level 100. A interface outside (de fora) assume automaticamente o security-level 0. Outro nome bastante comum para uma interface DMZ, que significa zona desmilitarizada. Na DMZ posicionamos os servidores de acesso pblico. Qualquer interface diferente de inside assume security-level 0.

6 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Portanto, configure estes cinco parmetros na interface Ethernet 0 (inside) do PIX FW1. Oriente-se pela topologia para identificar o nameif e endereo IP da interface. Ao finalizar, ligue a interface com o comando no shutdown. FIREWALL1(config-if)# nameif inside INFO: Security level for inside set to 100 by default. FIREWALL1(config-if)# ip address 10.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit 15. Confira se a interface est administrativamente up e operacional. FIREWALL1(config)# show interface eth0 Interface Ethernet0 inside, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Traffic Statistics for inside: 128 packets input, 76758 bytes 0 packets output, 0 bytes 128 packets dropped 1 minute input rate 2 pkts/sec, 1279 bytes/sec 1 minute output rate 0 pkts/sec, 0 bytes/sec 1 minute drop rate, 2 pkts/sec 5 minute input rate 0 pkts/sec, 0 bytes/sec 5 minute output rate 0 pkts/sec, 0 bytes/sec 5 minute drop rate, 0 pkts/sec 16. Confira as configuraes da interface com o comando show running-config interface eth0. Diferente de um router, um pix permite a leitura de sees do arquivo de configurao. FIREWALL1(config)# show run interface eth0 ! interface Ethernet0 speed 100 duplex full nameif inside

7 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

security-level 100 ip address 10.0.1.1 255.255.255.0 FIREWALL1(config)# 17. Configure tambm as interfaces Ethernet 1 (DMZ) e Ethernet 2 (outside). Defina o security-level da interface eth1 em 50. FIREWALL1(config)# interface ethernet1 FIREWALL1(config-if)# nameif dmz INFO: Security level for dmz set to 0 by default. FIREWALL1(config-if)# security-level 50 FIREWALL1(config-if)# ip address 172.16.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# interface eth2 FIREWALL1(config-if)# nameif outside INFO: Security level for outside set to 0 by default. FIREWALL1(config-if)# ip address 200.0.1.1 255.255.255.0 FIREWALL1(config-if)# speed 100 FIREWALL1(config-if)# duplex full FIREWALL1(config-if)# no shutdown FIREWALL1(config-if)# exit 18. Confira as configuraes das interfaces. FIREWALL1(config)# show run interface ! interface Ethernet0 speed 100 duplex full nameif inside security-level 100 ip address 10.0.1.1 255.255.255.0 ! interface Ethernet1 speed 100 duplex full nameif dmz security-level 50 ip address 172.16.1.1 255.255.255.0 ! interface Ethernet2 speed 100 duplex full nameif outside security-level 0 ip address 200.0.1.1 255.255.255.0 !

8 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

19. Garanta que as interfaces estejam ativas e operacionais. FIREWALL1(config)# show interface Interface Ethernet0 inside, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e00, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Interface Ethernet1 dmz, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e01, MTU 1500 IP address 172.16.1.10, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 0 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/0) software (0/0) Interface Ethernet2 outside, is up, line protocol is up Hardware is i82559, BW 100 Mbps, DLY 100 usec Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab85.8e02, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 128 packets input, 0 bytes, 0 no buffer Received 128 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 0 L2 decode drops 1 packets output, 0 bytes, 0 underruns 0 output errors, 0 collisions, 0 interface resets 0 babbles, 0 late collisions, 0 deferred 0 lost carrier, 0 no carrier input queue (curr/max packets): hardware (0/1) software (0/128) output queue (curr/max packets): hardware (0/1) software (0/1)

9 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

20. Voc pode usar filtros para selecionar um trecho especfico da sada de um comando. Por exemplo, voc poderia filtrar o resultado do comando show interface para capturar as linhas que considerar mais relevantes. No exemplo abaixo, complementando o comando show interface com pipe (|) e include foram capturadas as linhas onde aparecem as palavras Interface ou duplex ou IP ou MAC. Chamamos a expresso entre parnteses de regex (Regular Expression). FIREWALL1(config)# show interface | include (Interface|duplex|IP|MAC) Interface Ethernet0 inside, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f500, MTU 1500 IP address 10.0.1.1, subnet mask 255.255.255.0 Interface Ethernet1 dmz, is up, line protocol is up Full-Duplex(Full-duplex), 10 Mbps(10 Mbps) MAC address 0000.ab33.f501, MTU 1500 IP address 172.16.1.1, subnet mask 255.255.255.0 Interface Ethernet2 outside, is up, line protocol is up Full-Duplex(Full-duplex), 100 Mbps(100 Mbps) MAC address 0000.ab33.f502, MTU 1500 IP address 200.0.1.1, subnet mask 255.255.255.0 Interface Ethernet3 , is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef03, MTU not set IP address unassigned Interface Ethernet4 , is administratively down, line protocol is up Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0000.abcd.ef04, MTU not set IP address unassigned 21. Com o comando show ip address voc confere rapidamente o nome e o endereo IP configurado na interface. FIREWALL1(config)# show ip address System IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual Current IP Addresses: Interface Name IP address Subnet mask Method Ethernet0 inside 10.0.1.1 255.255.255.0 manual Ethernet1 dmz 172.16.1.1 255.255.255.0 manual Ethernet2 outside 200.0.1.1 255.255.255.0 manual 22. Com o comando show nameif voc confere rapidamente o nome e os security-levels. FIREWALL1(config)# show nameif Interface Name Security Ethernet0 inside 100 Ethernet1 dmz 50 Ethernet2 outside 0

10 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

23. Use o comando show names para checar a configurao do mapeamento de IPs para nomes. FIREWALL1(config)# show names name 10.0.1.3 insidehost name 172.16.1.10 bastionhost 24. Desafio Configure hostname, o mapeamento de nomes e as interfaces do PIX FIREWALL2. 25. Salve suas configuraes. FIREWALL1(config)# wr Building configuration Cryptochecksum: 0ceec793 2ba63ca7 26df7122 c2288916 2067 bytes copied in 1.220 secs (2067 bytes/sec) [OK] FIREWALL1(config)# Tarefa 3: Configurao de endereos globais, NAT dinmico e roteamento 26. Comece ativando a capacidade NAT. FIREWALL1(config)# nat-control 27. Crie um pool global de endereos quentes (vlidos). Use o comando global associando este pool interface outside e amarrando ao ID 1. Este pool de endereos ser usado para as conexes de sada. Ao final, confira as configuraes. FIREWALL1(config)# global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 FIREWALL1(config)# show run global global (outside) 1 200.0.1.20-200.0.1.254 netmask 255.255.255.0 28. Configure NAT para permitir que os hosts da inside tenham acesso externo. Use o ID 1 para associar este NAT ao pool global criado anteriormente. Ao final, confira as configuraes. FIREWALL1(config)# nat (inside) 1 10.0.1.0 255.255.255.0 FIREWALL1(config)# show run nat nat (inside) 1 10.0.1.0 255.255.255.0 NOTA: A amarrao de um par de comandos nat/global se d atravs do NAT ID. 29. Agora configure uma rota default para o trfego que sai pela interface outside usando o comando route. O comando route chama como complemento uma interface

11 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

para onde o trfego ser direcionado, a rede e mscara destino e o endereo IP de prximo salto. FIREWALL1(config)# route outside 0.0.0.0 0.0.0.0 200.0.1.2 NOTA: A maneira correta de interpretar o comando acima a seguinte: Roteie para a interface outside trfego para qualquer destino (0.0.0.0/0), usando como prximo salto o roteador RBB. Se quisesse rotear para uma subnet especfica, bastaria substituir o endereo 0.0.0.0/0 pelo endereo e mscara da subnet. 30. Confira a tabela de roteamento do PIX. Note que existem subnets diretamente conectadas e a rota default. FIREWALL1(config)# show route Codes: C connected, S static, I IGRP, R RIP, M mobile, B BGP D EIGRP, EX EIGRP external, O OSPF, IA OSPF inter area N1 OSPF NSSA external type 1, N2 OSPF NSSA external type 2 E1 OSPF external type 1, E2 OSPF external type 2, E EGP i IS-IS, L1 IS-IS level-1, L2 IS-IS level-2, ia IS-IS inter area * candidate default, U per-user static route, o ODR P periodic downloaded static route Gateway of last resort is 200.0.1.2 to network 0.0.0.0 C 200.0.1.0 255.255.255.0 is directly connected, outside C 10.0.1.0 255.255.255.0 is directly connected, inside C 172.16.1.0 255.255.255.0 is directly connected, dmz S* 0.0.0.0 0.0.0.0 [1/0] via 200.0.1.2, outside 31. Salve suas configuraes. FIREWALL1(config)# write memory Building configuration Cryptochecksum: 3d8e471c b67f7848 ba8190e7 8664314d 2134 bytes copied in 1.190 secs (2134 bytes/sec) [OK] 32. Desafio Repita o procedimento anterior de configurao e configure no FW2 um pool global de endereos, NAT inside e uma rota default. Confira as configuraes. Tarefa 4: Configurao dos roteadores 33. Agora configure hostname e o endereo IP nos roteadores R1, R2 e RBB. Desabilite o roteamento em R1 e R2 e configure como default gateway o endereo da interface diretamente conectada do PIX. Router> enable Router# configure terminal

12 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Router(config)# hostname R1 R1(config)# interface fastethernet 0/0 R1(config-if)# ip address 10.0.1.100 255.255.255.0 R1(config-if)# no shutdown R1(config-if)# exit R1(config)# no ip routing R1(config)# ip default-gateway 10.0.1.1 R1(config)# end R1# copy running-config startup-config Destination filename [startup-config]? Building configuration [OK] R1# Router> enable Router# configure terminal Router(config)# hostname R2 R2(config)# interface fastethernet 0/0 R2(config-if)# ip address 10.0.2.100 255.255.255.0 R2(config-if)# no shutdown R2(config-if)# exit R2(config)# no ip routing R2(config)# ip default-gateway 10.0.2.1 R2(config)# end R2# copy running-config startup-config Router> enable Router# configure terminal Router(config)# hostname RBB RBB(config)# interface fastethernet 0/0 RBB(config-if)# ip address 200.0.1.2 255.255.255.0 RBB(config-if)# description RBB>FW1 RBB(config-if)# no shutdown RBB(config-if)# interface fastethernet 0/1 RBB(config-if)# ip address 200.0.2.2 255.255.255.0 RBB(config-if)# description RBB>FW2 RBB(config-if)# no shutdown RBB(config-if)# interface loopback 0 RBB(config-if)# ip address 189.0.0.1 255.255.255.0 RBB(config-if)# description +++Public Web Server+++ RBB(config-if)# end RBB# copy running-config startup-config Tarefa 5: Testando a conectividade 34. Um teste de conectividade bastante comum usando pings. Vamos checar se as interfaces do FIREWALL 1 respondem s prprias requisies ping. FIREWALL1# ping 10.0.1.1 Type escape sequence to abort.
29/04/2012 21:20

13 de 17

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

Sending 5, 100-byte ICMP Echos to 10.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 172.16.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 172.16.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms FIREWALL1# ping 200.0.1.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms 35. Teste a conectividade com os devices adjacentes. Teste a conectividade com o servidor interno FTP (insidehost) FIREWALL1# ping insidehost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to insidehost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/82/130 ms 36. Teste a conectividade com o servidor web (bastionhost). FIREWALL1# ping bastionhost Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to bastionhost, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 70/78/80 ms 37. Teste a conectividade com R1. FIREWALL1# ping 10.0.1.100 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 10.0.1.100, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/142/160 ms 38. Teste a conectividade com RBB. FIREWALL1# ping 200.0.1.2 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.1.2, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 40/64/80 ms

14 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

39. Neste ponto voc j deve ser capaz de alcanar a interface outside do FIREWALL 2. FIREWALL1# ping 200.0.2.1 Type escape sequence to abort. Sending 5, 100-byte ICMP Echos to 200.0.2.1, timeout is 2 seconds: !!!!! Success rate is 100 percent (5/5), round-trip min/avg/max = 120/174/240 ms 40. Vamos testar se a configurao de NAT est funcionando acessando o servidor web no endereo . Lembre-se que esta uma conexo outbound, ou seja, uma requisio partindo de uma rede mais protegida para uma rede menos protegida, ou seja, uma requisio partindo de uma rede com security-level mais alto para uma rede com security-level mais baixo. Esta conexo TCP ser totalmente rastreada pelo PIX e o trfego de retorno ser permitido sem restries, porque o pedido de conexo TCP partiu da rede interna. Abra o navegador no host da inside e digite no campo de endereo: http://189.0.0.1. Voc deve receber a pgina web armazenada no router RBB. 41. Execute o comando xlate para analisar a tabela de tradues do PIX. Note que um endereo do pool global foi usado nesta conexo. FIREWALL1# show xlate 1 in use, 9 most used Global 200.0.1.20 Local insidehost 42. Analise mais detalhadamente com o auxlio do comando show local-host. FIREWALL1# show local-host insidehost Interface outside: 0 active, 3 maximum active, 0 denied Interface dmz: 0 active, 1 maximum active, 0 denied Interface inside: 1 active, 1 maximum active, 0 denied local host: , TCP flow count/limit = 0/unlimited TCP embryonic count to host = 0 TCP intercept watermark = unlimited UDP flow count/limit = 0/unlimited Xlate: Global 200.0.1.20 Local insidehost 43. Desafio Repita o teste de conectividade dos pings para o FIREWALL 2 e garanta que o servidor web externo esteja acessvel aos hosts da rede interna. Tarefa 6: Configurando um servidor syslog Garanta que o servidor syslog esteja ligado e que o servio syslog esteja rodando no host da inside. Usaremos um servidor provido pela 3Com, o 3Com Daemon. 44. Comece ativando o log de eventos no pix.

15 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

FIREWALL1(config)# logging enable 45. Identifique o servidor syslog com o comando logging host. Complemente este comando com o nome da interface onde o servidor est localizado e o endereo ou o nome do servidor. FIREWALL1(config)# logging host inside insidehost 46. Configure o nvel das mensagens de log com o comando logging trap. FIREWALL1(config)# logging trap ? configure mode commands/options: Enter syslog level (0 7) WORD Specify the name of logging list alerts critical debugging emergencies errors informational notifications warnings FIREWALL1(config)# logging trap debugging FIREWALL1(config)# show logging Syslog logging: enabled Facility: 20 Timestamp logging: disabled Standby logging: disabled Deny Conn when Queue Full: disabled Console logging: disabled Monitor logging: disabled Buffer logging: disabled Trap logging: level debugging, facility 20, 3 messages logged Logging to inside insidehost History logging: disabled Device ID: disabled Mail logging: disabled ASDM logging: disabled FIREWALL1(config)# 47. Partindo de R1, d um ping na interface inside do pix. R1# ping 10.0.1.1 !!!!! 48. Agora verifique se o servidor syslog capturou as mensagens resultantes dos pings.

16 de 17

29/04/2012 21:20

LAB: Configurao do PIX Firewall | Estude CCNA

http://estudeccna.com.br/tutoriais/lab-configuracao-pix-firewall

49. Desative o log. FIREWALL1(config)# no logging trap FIREWALL1(config)# no logging enable Gostou disso? Conte para todos LAB: Configurao do PIX Firewall Related posts: 1. Tutorial GNS3 2. Manual de Laboratrios 3. Exerccios: CCNA 1 Mdulo 11 Exploration v4.0
About the author

emersonmeh
If you enjoyed this article, please consider sharing it!

17 de 17

29/04/2012 21:20