9-思科防火墙(Cut|9-思科防火墙:Cut Through:Telnet穿越认证)
一、实验拓扑:
二、实验要求:
ASA联动外部产品ACS做一个认证,通过这种方式控制内部用户的流量;其实还可以做授权、审计。
有时候单单抓流量控制是不方便的,因为可能该网络有很多用户连接,比如总经理、副总经理、普通员工;所以这时候要用用户、密码来控制。允许登录,不同用户的不同授权之类的。
一般认证可以对4大流量开启认证:Http、Https、FTP、Telnet。
1、希望R2在远程登录R1时候还要通过一个验证,输入用户名密码,验证成功才可以登录R1;
2、为Inside网络访问Outside网络配置穿越认证;
3、认证服务器使用ACS;
4、调整认证超时时间,绝对超时时间1小时,闲置超时时间10分钟;
5、效果:R2 Telnet R1时候,会要求输入ACS认证的用户名、密码,正确之后在输入R1真实的用户名、密码。
三、命令部署:
1、ASA上部署aaa-server配置:
ASA(config)# aaa-server zhou protocol tacacs+
ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254
ASA(config-aaa-server-host)# key zhou
【9-思科防火墙(Cut|9-思科防火墙:Cut Through:Telnet穿越认证)】2、ASA测试:
ASA(config)# test aaa-server authentication zhou username bb password bbbb
Server IP Address or name: 10.1.2.254(timeout: 12 seconds)
INFO: Authentication Successful
注意:前半部分和3-认证管理访问:ACS联动是一样的
3、R2去往R1的Telnet流量首先用ACL抓起来:
ASA(config)# access-list tel extended permit tcp host 10.1.1.2 host 202.100.1.1 eq telnet
4、将ACL抓取的流量送到ACS验证:
ASA(config)# aaa authentication match tel inside zhou //ACS的名字是zhou
四、验证:
R2远程登录R1:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
Username: bb
Password:
User Access Verification
Username: aa
Password:
R1>
转载于:https://blog.51cto.com/13856092/2138595
推荐阅读
- Qiime2|Qiime2 cutadapt使用参数
- 思科路由映射表控制BGP路径的方法和实例
- Centos7|Centos7 防火墙常用配置及说明
- 11(Executor框架)
- 符号,权限,定时任务
- 张龙netty学习笔记|张龙netty学习笔记 P52 executor
- 使用ScheduledExecutorService实现延时任务——延时发布视频
- api-java.util.concurrent.ThreadPoolExecutor
- firewalld与iptables防火墙工具详细介绍
- Maximum execution time of 30 seconds exceeded解决办法