Configuration de l'ASA pour les réseaux internes

doubles

Contenu
Introduction
Conditions préalables
Conditions requises
Components Used
Conventions
Informations générales
Configuration
Diagramme du réseau
Configuration ASA 9.x
Autoriser les hôtes internes à accéder aux réseaux externes avec PAT
Configuration du routeur B
Vérification
Connexion
Dépannage
Syslog
Packet Tracer
Capture
Informations connexes

Introduction
Ce document décrit comment configurer un dispositif de sécurité adaptatif Cisco (ASA) qui
exécute le logiciel version 9.x pour l'utilisation de deux réseaux internes.

Conditions préalables

Conditions requises

Aucune spécification déterminée n'est requise pour ce document.

Components Used

Les informations de ce document sont basées sur Cisco ASA qui exécute le logiciel version 9.x.
The information in this document was created from the devices in a specific lab environment. All of
the devices used in this document started with a cleared (default) configuration. If your network is
live, make sure that you understand the potential impact of any command.

Conventions

Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à
Conventions relatives aux conseils techniques Cisco.

Informations générales
Lorsque vous ajoutez un deuxième réseau interne derrière un pare-feu ASA, tenez compte de ces
informations importantes :

● L'ASA ne prend pas en charge l'adressage secondaire.

● Un routeur doit être utilisé derrière l'ASA afin d'assurer le routage entre le réseau actuel et le
nouveau réseau ajouté.

● La passerelle par défaut de tous les hôtes doit pointer vers le routeur interne.

● Vous devez ajouter une route par défaut sur le routeur interne qui pointe vers l'ASA.

● Vous devez effacer le cache ARP (Address Resolution Protocol) sur le routeur interne.

Configuration
Utilisez les informations décrites dans cette section afin de configurer l'ASA.

Diagramme du réseau

Voici la topologie utilisée pour les exemples dans ce document :

Note: Les schémas d’adressage IP utilisés dans cette configuration ne sont pas routables
légalement sur Internet. Il s'agit d'adresses RFC 1918 utilisées dans un environnement de
travaux pratiques.
Configuration ASA 9.x

Si vous disposez de la sortie de la commande write terminal de votre périphérique Cisco, vous
pouvez utiliser l'outil Output Interpreter (clients enregistrés uniquement) afin d'afficher les
problèmes potentiels et les correctifs.

Voici la configuration de l'ASA qui exécute le logiciel version 9.x :

ASA Version 9.3(2)

!
hostname ASA
enable password 8Ry2YjIyt7RRXU24 encrypted
passwd 2KFQnbNIdI.2KYOU encrypted
names
!

!--- This is the configuration for the outside interface.

!
interface GigabitEthernet0/0
nameif outside
security-level 0
ip address 203.0.113.2 255.255.255.0

!--- This is the configuration for the inside interface.

!
interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 192.168.0.1 255.255.255.0
!

boot system disk0:/asa932-smp-k8.bin

!--- This creates an object called OBJ_GENERIC_ALL.

!--- Any host IP address that does not already match another configured
!--- object will get PAT to the outside interface IP address
!--- on the ASA (or 10.1.5.1), for Internet-bound traffic.

object network OBJ_GENERIC_ALL

subnet 0.0.0.0 0.0.0.0
nat (inside,outside) dynamic interface
!
route inside 192.168.1.0 255.255.255.0 192.168.0.254 1
route outside 0.0.0.0 0.0.0.0 203.0.113.1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
http server enable
http 192.168.0.0 255.255.254.0 inside
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh timeout 5
console timeout 0
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
!
class-map inspection_default
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns preset_dns_map
inspect ftp
inspect h323 h225
inspect h323 ras
inspect rsh
inspect rtsp
inspect esmtp
inspect sqlnet
inspect skinny
inspect sunrpc
inspect xdmcp
inspect sip
inspect netbios
inspect tftp
inspect ip-options
!
service-policy global_policy global
prompt hostname context
Cryptochecksum:6fffbd3dc9cb863fd71c71244a0ecc5f
: end

Autoriser les hôtes internes à accéder aux réseaux externes avec PAT

Si vous avez l'intention que les hôtes internes partagent une adresse publique unique pour la
traduction, utilisez la traduction d'adresses de port (PAT). L’une des configurations PAT les plus
simples implique la traduction de tous les hôtes internes de sorte qu’ils semblent être l’adresse IP
de l’interface externe. Il s’agit de la configuration PAT classique utilisée lorsque le nombre
d’adresses IP routables disponibles auprès du FAI est limité à quelques adresses, ou seulement
une.

Complétez ces étapes afin de permettre aux hôtes internes d'accéder aux réseaux externes avec
PAT :

1. Accédez à Configuration > Firewall > NAT Rules, cliquez sur Add et choisissez Network
Object afin de configurer une règle NAT dynamique :
2. Configurez le réseau/hôte/plage pour lequel la PAT dynamique est requise. Dans cet
exemple, tous les sous-réseaux internes ont été sélectionnés. Ce processus doit être répété
pour les sous-réseaux spécifiques que vous souhaitez traduire de cette manière :

3. Cliquez sur NAT, cochez la case Add Automatic Address Translation Rule, entrez Dynamic,
et définissez l'option Translated Addr pour qu'elle reflète l'interface externe. Si vous cliquez
sur le bouton d'ellipse, il vous aide à sélectionner un objet préconfiguré, tel que l'interface
externe :
4. Cliquez sur Avancé afin de sélectionner une interface source et de destination :
 5. Cliquez sur OK, puis sur Appliquer pour appliquer les modifications. Une fois terminé,
l'ASDM (Adaptive Security Device Manager) affiche la règle NAT :

Configuration du routeur B

Voici la configuration du routeur B :

Building configuration...

Current configuration:
!
version 12.4
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname Router B
!
!
username cisco password 0 cisco
!
!
!
!
ip subnet-zero
ip domain-name cisco.com
!
isdn voice-call-failure 0
!

!
interface Ethernet0/0
ip address 192.168.1.1 255.255.255.0
no ip directed-broadcast
!
interface Ethernet0/1

!--- This assigns an IP address to the ASA-facing Ethernet interface.

ip address 192.168.0.254 255.255.255.0

no ip directed-broadcast

ip classless

!--- This route instructs the inside router to forward all of the
!--- non-local packets to the ASA.

ip route 0.0.0.0 0.0.0.0 192.168.0.1

no ip http server
!
!
line con 0
exec-timeout 0 0
length 0
transport input none
line aux 0
line vty 0 4
password ww
login
!
end

Vérification
Accédez à un site Web via HTTP via un navigateur Web afin de vérifier que votre configuration
fonctionne correctement.

Cet exemple utilise un site hébergé à l'adresse IP 198.51.100.100. Si la connexion réussit, les
sorties fournies dans les sections suivantes peuvent être affichées sur l'interface de ligne de
commande ASA.

Connexion
Entrez la commande show connection address afin de vérifier la connexion :

ASA(config)# show connection address 172.16.11.5

6 in use, 98 most used
TCP outside 198.51.100.100:80 inside 192.168.1.5:58799, idle 0:00:06, bytes 937,
flags UIO
L'ASA est un pare-feu dynamique et le trafic de retour du serveur Web est autorisé à revenir par le
pare-feu car il correspond à une connexion dans la table de connexion du pare-feu. Le trafic qui
correspond à une connexion préexistante est autorisé par le pare-feu sans être bloqué par une
liste de contrôle d'accès (ACL) d'interface.

Dans la sortie précédente, le client de l'interface interne a établi une connexion à l'hôte
198.51.100.100 à l'extérieur de l'interface externe. Cette connexion est établie avec le protocole
TCP et est inactive depuis six secondes. Les indicateurs de connexion indiquent l'état actuel de
cette connexion.

Note: Référez-vous au document Cisco Indicateurs de connexion TCP ASA (création et

désactivation de connexion) pour plus d'informations sur les indicateurs de connexion.

Dépannage
Utilisez les informations décrites dans cette section afin de résoudre les problèmes de
configuration.

Syslog

Entrez la commande show log afin d'afficher les syslogs :

ASA(config)# show log | in 192.168.1.5

Apr 27 2014 11:31:23: %ASA-6-305011: Built dynamic TCP translation from inside:
192.168.1.5/58799 to outside:203.0.113.2/58799

Apr 27 2014 11:31:23: %ASA-6-302013: Built outbound TCP connection 2921 for outside:
198.51.100.100/80 (198.51.100.100/80) to inside:192.168.1.5/58799 (203.0.113.2/58799)
Le pare-feu ASA génère des syslogs en fonctionnement normal. La plage de verbosité des
syslogs est basée sur la configuration de la journalisation. Le résultat montre deux syslogs qui
sont vus au niveau 6, ou au niveau informationnel.

Dans cet exemple, deux syslogs sont générés. Le premier est un message de journal indiquant
que le pare-feu a construit une traduction ; plus précisément, une traduction TCP dynamique
(PAT). Il indique l'adresse IP source et le port, ainsi que l'adresse IP et le port traduits, pendant
que le trafic traverse de l'intérieur vers l'extérieur des interfaces.

Le second syslog indique que le pare-feu a créé une connexion dans sa table de connexion pour
ce trafic spécifique entre le client et le serveur. Si le pare-feu a été configuré pour bloquer cette
tentative de connexion, ou si un autre facteur a empêché la création de cette connexion
(contraintes de ressources ou une éventuelle erreur de configuration), le pare-feu ne génère pas
de journal indiquant que la connexion a été créée. Au lieu de cela, il consigne une raison pour
laquelle la connexion a été refusée ou une indication par rapport au facteur qui a empêché la
création de la connexion.

Packet Tracer

Entrez cette commande afin d'activer la fonctionnalité packet tracer :

ASA(config)# packet-tracer input inside tcp 192.168.1.5 1234 198.51.100.100 80

--Omitted--

Result:
input-interface: inside
input-status: up
input-line-status: up
output-interface: outside
output-status: up
output-line-status: up
Action: allow
La fonctionnalité Packet Tracer de l'ASA vous permet de spécifier un paquet simulé et d'afficher
toutes les étapes, vérifications et fonctions que le pare-feu effectue lorsqu'il traite le trafic. Avec
cet outil, il est utile d'identifier un exemple du trafic que vous pensez devoir être autorisé à
traverser le pare-feu, et d'utiliser ce 5-tupple afin de simuler le trafic. Dans l'exemple précédent,
packet tracer est utilisé afin de simuler une tentative de connexion qui répond à ces critères :

● Le paquet simulé arrive sur l’interface interne.

● Le protocole utilisé est TCP.

● L’adresse IP du client simulé est 192.168.1.5.

● Le client envoie le trafic provenant du port 1234.

● Le trafic est destiné à un serveur à l'adresse IP 198.51.100.100.

●Le trafic est destiné au port 80.

Notez que la commande ne mentionne pas l’interface externe. Cela est dû à la conception de
packet tracer. L'outil vous explique comment le pare-feu traite ce type de tentative de connexion,
ce qui inclut comment il l'acheminerait et à partir de quelle interface.

Astuce : Pour plus d'informations sur la fonctionnalité Packet Tracer, reportez-vous à la

section Tracing packets with Packet Tracer du Guide de configuration de la gamme Cisco
ASA 5500 à l'aide de l'interface de ligne de commande, 8.4 et 8.6.

Capture

Entrez ces commandes afin d'appliquer une capture :

ASA# capture capin interface inside match tcp host 192.168.1.5 host 198.51.100.100
ASA# capture capout interface outside match tcp any host 198.51.100.100

ASA#show capture capin

3 packets captured

1: 11:31:23.432655 192.168.1.5.58799 > 198.51.100.100.80: S 780523448:

780523448(0) win 8192 <mss 1460,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712518 198.51.100.100.80 > 192.168.1.5.58799: S 2123396067:
2123396067(0) ack 780523449 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712884 192.168.1.5.58799 > 198.51.100.100.80: . ack 2123396068
win 32768

ASA#show capture capout

3 packets captured

1: 11:31:23.432869 203.0.113.2.58799 > 198.51.100.100.80: S 1633080465:

1633080465(0) win 8192 <mss 1380,nop,wscale 2,nop,nop,sackOK>
2: 11:31:23.712472 198.51.100.100.80 > 203.0.113.2.58799: S 95714629:
95714629(0) ack 1633080466 win 8192 <mss 1024,nop,nop,sackOK,nop,wscale 8>
3: 11:31:23.712914 203.0.113.2.58799 > 198.51.100.100.80: . ack 95714630
win 32768/pre>
Le pare-feu ASA peut capturer le trafic entrant ou sortant de ses interfaces. Cette fonctionnalité de
capture est fantastique, car elle peut prouver de manière définitive si le trafic arrive à un pare-feu
ou s'il en sort. L'exemple précédent montre la configuration de deux captures nommées capin et
capout sur les interfaces interne et externe, respectivement. Les commandes capture utilisent le
mot clé match, qui vous permet de spécifier le trafic que vous voulez capturer.

Pour l'exemple de capture de la capture, il est indiqué que vous voulez faire correspondre le trafic
qui est vu sur l'interface interne (entrée ou sortie) qui correspond à l'hôte tcp 192.168.1.5 hôte
198.51.100.100. En d'autres termes, vous voulez capturer tout trafic TCP envoyé de l'hôte
192.168.1.5 à l'hôte 198.51.100.100, ou vice versa. L'utilisation du mot clé match permet au pare-
feu de capturer ce trafic bidirectionnellement. La commande capture définie pour l'interface
externe ne fait pas référence à l'adresse IP du client interne car le pare-feu effectue la PAT sur
cette adresse IP du client. Par conséquent, vous ne pouvez pas correspondre à cette adresse IP
client. Cet exemple utilise any pour indiquer que toutes les adresses IP possibles correspondent à
cette condition.

Après avoir configuré les captures, vous pouvez tenter de rétablir une connexion et continuer à
afficher les captures à l'aide de la commande show capture<capture_name>. Dans cet exemple,
vous pouvez voir que le client est en mesure de se connecter au serveur, comme le montre la
connexion TCP en trois étapes qui apparaît dans les captures.

Informations connexes
● Cisco Adaptive Security Device Manager

● Pare-feu de nouvelle génération Cisco ASA 5500-X

● Demandes de commentaires (RFC)

● Guide de configuration de l'interface de ligne de commande de la gamme Cisco ASA, 9.0 - -
Configuration des routes statiques et par défaut

● Support technique et documentation â Systèmes Cisco