danghoangkhanh
10-11-2008, 09:02 AM
AAA trên ASA kết nối với ACS Server
Thực hiện: Hoàng Khánh - Bảo Quốc
http://usera.ImageCave.com/NI1/7_11_08.jpg
Yêu cầu:
1. Cho phép Inside ping ra outside còn các dịch vụ khác phải yêu cầu khác thực.
2. Tạo 2 group: admin và sale, group admin thì cho phép đi ping, http, https, FTP còn group sale thì chỉ cho đi http. Xác thực thành công mới cho đi!
Thực hiện:
Bước 1: Cấu hình các thông số cơ bản và IP Address trên các Interface như sau:
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address dhcp
!
Bước 2: NAT từ vùng INSIDE ra OUTSIDE, tạo default route
global (outside) 1 interface
!Nat Overload
nat (inside) 1 192.168.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.215.219.254 1
!(default route ra chỉ ra con Router ADSL của VNPro )
Bước 3: tạo Access-List cho phép Ping.
access-list PING extended permit icmp any any
Lưu ý: nếu ko làm ACL, bên outside sẽ ko trả gói tin về đc vì theo luật gói tin đi từ vùng có security-level thấp hơn tới vùng cao hơn sẽ ko đc cho phép
Bước 4: cấu hình yêu cầu dịch vụ khác đi ra phải phải xác thực
Thực hiện trên con ASA Client:
!# chỉ giao giao thực tcp và udp khi xuất phát từ mạng inside #
ciscoasa# show run access-list
access-list XACTHUC extended permit tcp 192.168.1.0 255.255.255.0 any
access-list XACTHUC extended permit udp 192.168.1.0 255.255.255.0 any
!# khai báo server ACS và giao thức, key dùng #
aaa-server ACSSERVER protocol radius
aaa-server ACSSERVER host 192.168.1.2
key 321
!(trên ACS Server cũng khải báo giống giao thức, key và chỉ đến IP của ASA Client)
!# Apply việc xác thực #
ciscoasa# show run aaa
aaa authentication match XACTHUC inside ACSSERVER
!( Server ACS đặt trong vùng inside)
Bước 5: cấu hình trên ACS-Server
# Khai báo các tham IP& Tên cho ACS Server vào ASA Client#
http://usera.imagecave.com/NI1/Step_1_configure-IP_server_client.jpg
# Chỉ cần khai báo thêm 1 user để test. Ở đây mình tạo user là woc để test #
Thực hiện: Hoàng Khánh - Bảo Quốc
http://usera.ImageCave.com/NI1/7_11_08.jpg
Yêu cầu:
1. Cho phép Inside ping ra outside còn các dịch vụ khác phải yêu cầu khác thực.
2. Tạo 2 group: admin và sale, group admin thì cho phép đi ping, http, https, FTP còn group sale thì chỉ cho đi http. Xác thực thành công mới cho đi!
Thực hiện:
Bước 1: Cấu hình các thông số cơ bản và IP Address trên các Interface như sau:
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif dmz
security-level 50
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
nameif outside
security-level 0
ip address dhcp
!
Bước 2: NAT từ vùng INSIDE ra OUTSIDE, tạo default route
global (outside) 1 interface
!Nat Overload
nat (inside) 1 192.168.1.0 255.255.255.0
route outside 0.0.0.0 0.0.0.0 10.215.219.254 1
!(default route ra chỉ ra con Router ADSL của VNPro )
Bước 3: tạo Access-List cho phép Ping.
access-list PING extended permit icmp any any
Lưu ý: nếu ko làm ACL, bên outside sẽ ko trả gói tin về đc vì theo luật gói tin đi từ vùng có security-level thấp hơn tới vùng cao hơn sẽ ko đc cho phép
Bước 4: cấu hình yêu cầu dịch vụ khác đi ra phải phải xác thực
Thực hiện trên con ASA Client:
!# chỉ giao giao thực tcp và udp khi xuất phát từ mạng inside #
ciscoasa# show run access-list
access-list XACTHUC extended permit tcp 192.168.1.0 255.255.255.0 any
access-list XACTHUC extended permit udp 192.168.1.0 255.255.255.0 any
!# khai báo server ACS và giao thức, key dùng #
aaa-server ACSSERVER protocol radius
aaa-server ACSSERVER host 192.168.1.2
key 321
!(trên ACS Server cũng khải báo giống giao thức, key và chỉ đến IP của ASA Client)
!# Apply việc xác thực #
ciscoasa# show run aaa
aaa authentication match XACTHUC inside ACSSERVER
!( Server ACS đặt trong vùng inside)
Bước 5: cấu hình trên ACS-Server
# Khai báo các tham IP& Tên cho ACS Server vào ASA Client#
http://usera.imagecave.com/NI1/Step_1_configure-IP_server_client.jpg
# Chỉ cần khai báo thêm 1 user để test. Ở đây mình tạo user là woc để test #