pix 515e

Mettete al sicuro la vostra rete!

Moderatore: Federico.Lagni

Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Salve a tutti,
per me i pix sono territorio alieno e non so proprio da che parte cominciare,
ho un pix con 64mb di ram, 16 di flash e 3 ethernet, sul asdm mi dice che la licenza supporta al massimo 3 interfacce fisiche, e quindi visto che devo aggiungere una nuova interfaccia ethernet mi chiedevo se continuava a fungere normalmente oppure no.
Ma poi mi sono posto anche un altra domanda, devo aumentare anche la ram per cambiare da restricted a unrestricted?(ho visto che i pix unrestriced sono tutti con 128 mega di ram) Ce potevano mette un router invece che sto cosoooo?!?!^_^°°°°°°°°°°
A daje e daje le cipolle diventan'aje!!!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Intanto ti consiglio un bel upgrade di RAM e quindi aggiornamento alla IOS 8!
Fai 2 conti però, perchè, tra contratto x l'aggiornamento IOS e RAM certificata forse ti conviene prendere un ASA 5510 nuovo...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

ti ringrazio per la risposta, infatti ho controllato è viene circa 2000 euro!
Il cliente credo optera per un altra soluzione per collegare l'altro server al pix
A daje e daje le cipolle diventan'aje!!!
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Sempre rimanendo in tema di quel pix ho fatto una modifica alla conf originale che è questa:
hostname xxxxxxxxxxxxx
domain-name xxxxxxxxxxx
enable password xxxxxxxxxxxxx encrypted
names
!
interface Ethernet0
description collegamento WAN
nameif Outside
security-level 0
ip address xxx.xxx.xxx.140 255.255.255.240
!
interface Ethernet1
description collegamento Server WEB
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.240
!
interface Ethernet2
description collegamento Server Exchange2007
nameif Inside2
security-level 100
ip address 10.0.0.1 255.255.255.240
!
passwd xxxxxxxxxxxxxxxxx encrypted
ftp mode passive
clock timezone CEST 1
clock summer-time CEDT recurring last Sun Mar 2:00 last Sun Oct 3:00
same-security-traffic permit inter-interface
object-group service SQL tcp-udp
port-object range 1433 1434
access-list Outside_access_in extended permit icmp any any echo-reply
access-list Outside_access_in extended permit tcp any host xxx.xxx.xxx.130 eq www
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.130
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.130
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.130
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.130
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.130
access-list Outside_access_in extended permit tcp any host xxx.xxx.xxx.131 eq smtp
access-list Outside_access_in extended permit tcp any host xxx.xxx.xxx.131 eq https
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.140
access-list Outside_access_in extended permit tcp xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit gre xxx.xxx.xxx.xxx 255.255.255.248 any
access-list Outside_access_in extended permit gre host xxx.xxx.xxx.xxx any
access-list Outside_access_in extended permit gre host xxx.xxx.xxx.xxx any
access-list Outside_access_in extended permit gre host xxx.xxx.xxx.xxx any
access-list Outside_access_in extended permit gre host xxx.xxx.xxx.xxx any
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.130
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.140
access-list Outside_access_in extended permit tcp host xxx.xxx.xxx.xxx host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit gre host xxx.xxx.xxx.xxx any
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.130
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.131
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.140
access-list Outside_access_in extended permit tcp xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.140 eq ssh
access-list Outside_access_in extended permit gre xxx.xxx.xxx.xxx 255.255.255.248 any
pager lines 24
logging enable
logging asdm informational
mtu Outside 1500
mtu inside 1500
mtu Inside2 1500
ERROR: Command requires failover license
ERROR: Command requires failover license
icmp deny host xxx.xxx.xxx.140 echo Outside
asdm image flash:/asdm
no asdm history enable
arp timeout 14400
nat-control
global (Outside) 1 interface
static (Inside2,Outside) xxx.xxx.xxx.130 10.0.0.2 netmask 255.255.255.255
static (inside,Outside) xxx.xxx.xxx.131 192.168.1.2 netmask 255.255.255.255
access-group Outside_access_in in interface Outside
route Outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.129 1
timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00
timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00
timeout uauth 0:05:00 absolute
username xc password xc encrypted privilege 15
username xc password xc encrypted privilege 15
username xc password xc encrypted privilege 15
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
http server enable
http xxx.xxx.xxx.xxx 255.255.255.248 Outside
http xxx.xxx.xxx.xxx 255.255.255.248 Outside
http xxx.xxx.xxx.xxx 255.255.255.255 Outside
http xxx.xxx.xxx.xxx 255.255.255.248 Outside
http 192.168.1.0 255.255.255.240 inside
http 10.0.0.0 255.255.255.240 Inside2
no snmp-server location
no snmp-server contact
snmp-server enable traps snmp authentication linkup linkdown coldstart
crypto ca trustpoint xc
enrollment terminal
crl configure
telnet xxx.xxx.xxx.xxx 255.255.255.255 Outside
telnet xxx.xxx.xxx.xxx 255.255.255.255 Outside
telnet xxx.xxx.xxx.xxx 255.255.255.255 Outside
telnet xxx.xxx.xxx.xxx 255.255.255.248 Outside
telnet xxx.xxx.xxx.xxx 255.255.255.255 Outside
telnet 10.0.0.2 255.255.255.255 Inside2
telnet timeout 5
ssh xxx.xxx.xxx.xxx 255.255.255.248 Outside
ssh xxx.xxx.xxx.xxx 255.255.255.255 Outside
ssh xxx.xxx.xxx.xxx 255.255.255.255 Outside
ssh xxx.xxx.xxx.xxx 255.255.255.255 Outside
ssh xxx.xxx.xxx.xxx 255.255.255.255 Outside
ssh xxx.xxx.xxx.xxx 255.255.255.255 Outside
ssh xxx.xxx.xxx.xxx 255.255.255.248 Outside
ssh 192.168.1.0 255.255.255.240 inside
ssh 10.0.0.0 255.255.255.240 Inside2
ssh timeout 5
console timeout 0
!
class-map class_ftp
match port tcp range 5000 5050
!
!
policy-map global_policy
class class_ftp
inspect ftp
!
service-policy global_policy global
ntp authenticate
ntp server 193.204.114.105 source Outside prefer
end


Devo aggiungere a questa conf una subinterface che verrà associata a un altro indirizzo ip esterno e mi è venuto fuori questo:

interface ethernet2.1
description collegamento Server SQL2005
nameif Inside3
security-level 100
ip address 172.16.0.1 255.255.255.240
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host xxx.xxx.xxx.xxx host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip xxx.xxx.xxx.xxx 255.255.255.248 host xxx.xxx.xxx.132
mtu Inside3 1500
static (Inside3,Outside) xxx.xxx.xxx.132 172.16.0.2 netmask 255.255.255.255
ssh 172.16.0.0 255.255.255.240 Inside3
telnet 172.16.0.0 255.255.255.240 Inside3
http 172.16.0.0 255.255.255.240 Inside3

Che ne dite? MAnca qualcosa?
A daje e daje le cipolle diventan'aje!!!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Non manca la vlan associata a quella sub-interface?!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Va creata per forza? So che è un po una porcata ma il cliente per non spendere troppo mettera uno switch forse anche non managed tra il pix e il server che dovrò aggiungere.
Comunque va bene la parte che ho messo fino ad ora?
A daje e daje le cipolle diventan'aje!!!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Codice: Seleziona tutto

interface Ethernet2.1
 vlan xxx
Senza la vlan non ho capito come fa ad andare dato che alla eth2 ci colleghi un singolo cavo ma vuoi 2 reti diverse...
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Beh visto che sono su due classi di ip diverse pensavo che creando semplicemente una subinterface la cosa avrebbe funzionato, naturalmente il traffico delle due sottoreti andrebbe sulla stessa lan.
A daje e daje le cipolle diventan'aje!!!
luca.prina
Cisco enlightened user
Messaggi: 125
Iscritto il: dom 09 set , 2007 8:30 pm

Ciao,
ti parlo per esperienza diretta perche, anche io, ho configurato un 515e con una outside con due Vlan.. l'unica possibilità che hai è collegare il pix ad uno switch e gestirti dallo switch le vlan.
Tra l'altro se fai l'upgrade di memoria a 128mb e monti una versione 7 (almeno) di PIX puoi creare fino a 10 interfacce virtuali anche con licenza restricted (cosa che con la 6.x non potevi fare)

Spero di esserti stato utile...
ciao ciao
Luca P.
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

Dalla config mi sa che hai già la 7 (facci vedere uno sh ver x conferma).
Cmq, 6 obbligato a gestire la sub interface con una vlan!
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Si è una versione 7...
il problema è che il cliente non ha uno switch che gestisca vlan e non credo lo comprerà!
E' una brutta fazenda!
Comunque non è la outside ma è la inside!
A daje e daje le cipolle diventan'aje!!!
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Ora sul benedetto pix metteranno un 2960 e quindi vlan!!!
Ho pensato di creare 3 vlan sullo switch per la conf(che spero vada bene) basta vedere qui http://www.ciscoforums.it/viewtopic.php?t=9198 (si so sempre io)
Sul pix ho aggiunto due ip sul nat della inside2 (uno è quello del server e uno quello dello switch) e ho aggiunto le relative accesslist:
static (Inside2,Outside) xxx.xxx.xxx.132 10.0.0.3 netmask 255.255.255.255
static (Inside2,Outside) xxx.xxx.xxx.133 10.0.0.4 netmask 255.255.255.255
access-list Outside_access_in extended permit ip yyy.yyy.yyy.yyy 255.255.255.248 host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip yyy.yyy.yyy.yyy 255.255.255.248 host xxx.xxx.xxx.132
access-list Outside_access_in extended permit ip yyy.yyy.yyy.yyy 255.255.255.248 host xxx.xxx.xxx.133
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.133
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.133
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.133
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.133
access-list Outside_access_in extended permit ip host yyy.yyy.yyy.yyy host xxx.xxx.xxx.133
access-list Outside_access_in extended permit ip yyy.yyy.yyy.yyy255.255.255.248 host xxx.xxx.xxx.133


Stavolta non dovrebbero esserci problemi no?!? Veroooo?!?!? BUaaaaahh^_^°°°°°°°°°
A daje e daje le cipolle diventan'aje!!!
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Ho fatto una modifica ulteriore:
static (Inside2,Outside) tcp 212.239.21.133 ssh 10.0.0.4 ssh netmask 255.255.255.255
Così solo con ssh si può raggiungere lo switch.
A daje e daje le cipolle diventan'aje!!!
Avatar utente
Wizard
Intergalactic subspace network admin
Messaggi: 3441
Iscritto il: ven 03 feb , 2006 10:04 am
Località: Emilia Romagna
Contatta:

static (Inside2,Outside) xxx.xxx.xxx.133 10.0.0.4 netmask 255.255.255.255
Potevi lasciare anche così poi regolavi il traffico entrante con le acl...
Cmq meglio così, risparmi ip pubblici
Il futuro è fatto di persone che hanno delle intuizioni e visioni .....sono quelle persone che fanno la differenza...... quelle dotate di un TERZO OCCHIO....
Avatar utente
daysleeper
Network Emperor
Messaggi: 347
Iscritto il: gio 20 ott , 2005 12:47 pm
Località: Gioia del Colle(ba)

Si infatti, ho applicato ora ora le modifiche al pix e non è caduta la connessione^_^°°° come sono felice!!! Ora devo solo aspettare che arriva lo switch e configurarlo...e sperare che la persona che dovrà montarlo martedi a Roma sappia leggere!
Una domanda su win 2003, se sulle connessioni di rete mi dice che "connessione alla rete locale lan1" è associata alla scheda di rete intel e la "connessione alla rete locale lan2" è associata alla scheda di rete intel #2 vuol dire che lan1 è associata con la scheda di rete numerata come 1 sul server e che lan 2 è associata con la scheda di rete 2?(Spero di si perchè se no dovrò smadonnare per telefono martedi!!!)
A daje e daje le cipolle diventan'aje!!!
Rispondi