二、实验要求:
ASA联动外部产品ACS做一个认证,通过这种方式控制内部用户的流量;其实还可以做授权、审计。
有时候单单抓流量控制是不方便的,因为可能该网络有很多用户连接,比如总经理、副总经理、普通员工;所以这时候要用用户、密码来控制。允许登录,不同用户的不同授权之类的。
一般认证可以对4大流量开启认证:Http、Https、FTP、Telnet。
1、希望R2在远程登录R1时候还要通过一个验证,输入用户名密码,验证成功才可以登录R1;
2、为Inside网络访问Outside网络配置穿越认证;
3、认证服务器使用ACS;
4、调整认证超时时间,绝对超时时间1小时,闲置超时时间10分钟;
5、效果:R2 Telnet R1时候,会要求输入ACS认证的用户名、密码,正确之后在输入R1真实的用户名、密码。
三、命令部署:
1、ASA上部署aaa-server配置:
ASA(config)# aaa-server zhou protocol tacacs+
ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254
ASA(config-aaa-server-host)# key zhou
2、ASA测试:
ASA(config)# test aaa-server authentication zhou username bb password bbbb
Server IP Address or name: 10.1.2.254(timeout: 12 seconds)
INFO: Authentication Successful
注意:前半部分和3-认证管理访问:ACS联动是一样的
3、R2去往R1的Telnet流量首先用ACL抓起来:
ASA(config)# access-list tel extended permit tcp host 10.1.1.2 host 202.100.1.1 eq telnet
4、将ACL抓取的流量送到ACS验证:
ASA(config)# aaa authentication match tel inside zhou ??//ACS的名字是zhou
四、验证:
R2远程登录R1:
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
Username: bb
Password:
User Access Verification
Username: aa
Password:
R1>
9-思科防火墙:Cut Through:Telnet穿越认证
原文地址:http://blog.51cto.com/13856092/2138595