9-思科防火墻:Cut Through:Telnet穿越認證
阿新 • • 發佈:2018-07-07
cat img seconds 服務 tcp term second .com toc 一、實驗拓撲:
二、實驗要求:
ASA聯動外部產品ACS做一個認證,通過這種方式控制內部用戶的流量;其實還可以做授權、審計。
有時候單單抓流量控制是不方便的,因為可能該網絡有很多用戶連接,比如總經理、副總經理、普通員工;所以這時候要用用戶、密碼來控制。允許登錄,不同用戶的不同授權之類的。
一般認證可以對4大流量開啟認證:Http、Https、FTP、Telnet。
1、希望R2在遠程登錄R1時候還要通過一個驗證,輸入用戶名密碼,驗證成功才可以登錄R1;
2、為Inside網絡訪問Outside網絡配置穿越認證;
3、認證服務器使用ACS;
4、調整認證超時時間,絕對超時時間1小時,閑置超時時間10分鐘;
5、效果:R2 Telnet R1時候,會要求輸入ACS認證的用戶名、密碼,正確之後在輸入R1真實的用戶名、密碼。
1、ASA上部署aaa-server配置:
ASA(config)# aaa-server zhou protocol tacacs+
ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254
ASA(config-aaa-server-host)# key zhou
註意:前半部分和3-認證管理訪問:ACS聯動是一樣的
Password:
二、實驗要求:
ASA聯動外部產品ACS做一個認證,通過這種方式控制內部用戶的流量;其實還可以做授權、審計。
有時候單單抓流量控制是不方便的,因為可能該網絡有很多用戶連接,比如總經理、副總經理、普通員工;所以這時候要用用戶、密碼來控制。允許登錄,不同用戶的不同授權之類的。
一般認證可以對4大流量開啟認證:Http、Https、FTP、Telnet。
1、希望R2在遠程登錄R1時候還要通過一個驗證,輸入用戶名密碼,驗證成功才可以登錄R1;
2、為Inside網絡訪問Outside網絡配置穿越認證;
3、認證服務器使用ACS;
4、調整認證超時時間,絕對超時時間1小時,閑置超時時間10分鐘;
5、效果:R2 Telnet R1時候,會要求輸入ACS認證的用戶名、密碼,正確之後在輸入R1真實的用戶名、密碼。
1、ASA上部署aaa-server配置:
ASA(config)# aaa-server zhou protocol tacacs+
ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254
ASA(config-aaa-server-host)# key zhou
2、ASA測試:
ASA(config)# test aaa-server authentication zhou username bb password bbbb
Server IP Address or name: 10.1.2.254(timeout: 12 seconds)
註意:前半部分和3-認證管理訪問:ACS聯動是一樣的
3、R2去往R1的Telnet流量首先用ACL抓起來:
ASA(config)# access-list tel extended permit tcp host 10.1.1.2 host 202.100.1.1 eq telnet
4、將ACL抓取的流量送到ACS驗證:
ASA(config)# aaa authentication match tel inside zhou //ACS的名字是zhou
四、驗證:
R2遠程登錄R1:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
Password:
User Access Verification
Username: aa
Password:
R1>
9-思科防火墻:Cut Through:Telnet穿越認證