PDA

View Full Version : Thực hiện Cut-through cơ bản


phamminhtuan
11-05-2011, 08:48 PM
Bùi Nguyễn Hoàng Long
VnPro



Thực hiện Cut-through cơ bản

http://img269.imageshack.us/img269/7661/image001njm.jpg
I. Mô tả:
Thực hiện việc xác thực cho tất cả các loại dịch vụ hoạt động trên TCP cho các PC thuộc mạng 192.168.1.0/24. Dùng local database để thực hiện xác thực.
Những dịch vụ cho phép thực hiện xác thực


HTTP (80)
HTTPS (443)
FTP (21)
TELNET (23)

II. Cấu hình

Xác định luồng dữ liệu sẽ được xác thực, những luồng dữ liệu được cho phép trong ACL sẽ không được xác thực.
Lưu ý: Trong trường hợp ACL là permit ip hoặc permit udp, thì những dịch vụ yêu cầu sự phân giải qua DNS, sẽ không hoạt động được, do đó cần thực hiện deny đối với dịch vụ DNS
ciscoasa(config)# access-list AUTHEN permit tcp 192.168.1.0 255.255.25.0 any

Cho phép echo-reply trở về
ciscoasa(config)# access-list PING permit icmp any 192.168.1.0 255.255.255.0 echo-reply
ciscoasa(config)# access-group PING in interface outside

Tắt tính năng NAT (tùy chọn)
ciscoasa(config)# no nat-control

Định nghĩa local database
ciscoasa(config)# username vnpro password vnpro

Kích hoạt tính năng Cut-through proxy cho tất cả luồng dữ liệu xuất phát từ cổng inside mà so khớp với ACL
ciscoasa(config)# aaa authentication match AUTHEN inside LOCAL

III. Cấu hình đầy đủ:

ciscoasa

ASA Version 7.2(3)
!
hostname ciscoasa
enable password 8Ry2YjIyt7RRXU24 encrypted
names
!
interface Ethernet0/0
nameif inside
security-level 100
ip address 192.168.1.1 255.255.255.0
!
interface Ethernet0/1
nameif outside
security-level 0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/2
shutdown
no nameif
no security-level
no ip address
!
interface Ethernet0/3
shutdown
no nameif
no security-level
no ip address
!
interface Management0/0
shutdown
no nameif
no security-level
no ip address
!
access-list AUTHEN extended permit tcp 192.168.1.0 255.255.25.0 any
access-list PING extended permit icmp any 192.168.1.0 255.255.255.0 echo-reply

access-group PING in interface outside
route outside 0.0.0.0 0.0.0.0 192.168.2.2 1

timeout uauth 0:05:00 absolute
aaa authentication match AUTHEN inside LOCAL
!
username vnpro password e8rujZhPXEdSbbnI encrypted

GATEWAY
Building configuration...

Current configuration : 1191 bytes
!
hostname GATEWAY
!
interface FastEthernet0/0
ip address 192.168.2.2 255.255.255.0
ip nat inside
ip virtual-reassembly
duplex auto
speed auto
!
interface FastEthernet0/1
ip address dhcp
ip nat outside
ip virtual-reassembly
duplex auto
speed auto
!
ip route 192.168.1.0 255.255.255.0 192.168.2.1
!
ip nat inside source list 1 interface FastEthernet0/1 overload
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
!
III. Kiểm tra

GATEWAY#sh ip interface brief fa0/1
Interface IP-Address OK? Method Status Protocol
FastEthernet0/1 10.215.219.187 YES DHCP up up

GATEWAY# sh ip route static
S 192.168.1.0/24 [1/0] via 192.168.2.1
S* 0.0.0.0/0 [254/0] via 10.215.219.254

Giao tiếp thành công với ICMP, vì ICMP không được yêu cầu thực hiện xác thực. Tuy nhiên tất cả dịch vụ hoạt động trên TCP không thể thực hiện giao tiếp cho đến khi được xác thực.

http://img40.imageshack.us/img40/7839/image002fs.jpg

Thực hiện truy cập dịch vụ Web

http://img845.imageshack.us/img845/5201/image003jg.jpg




Yêu cầu thực hiện xác thực nếu chưa được xác thực trước đó

http://img4.imageshack.us/img4/7373/image004vh.jpg

Xác thực thành công

http://img818.imageshack.us/img818/7237/image005xhf.jpg

Trạng thái xác thực
ciscoasa(config)# sh uauth
Current Most Seen
Authenticated Users 1 1
Authen In Progress 0 2
user 'vnpro' at 192.168.1.2, authenticated
absolute timeout: 0:05:00
inactivity timeout: 0:00:00
NgocNgao
15-05-2011, 11:17 PM
Cám ơn anh vì bài viết !
Cho em hỏi : tại sao phải từ chối dịch vụ DNS ah ?
phamminhtuan
18-05-2011, 12:05 AM
Cám ơn anh vì bài viết !
Cho em hỏi : tại sao phải từ chối dịch vụ DNS ah ?

Lưu ý: Trong trường hợp ACL là permit ip hoặc permit udp, thì những dịch vụ yêu cầu sự phân giải qua DNS, sẽ không hoạt động được, do đó cần thực hiện deny đối với dịch vụ DNS

Chào bạn,

Nếu bạn muốn ra trang web nào đó trên Internet, hoặc sử dụng các soft kết nối đến server bằng tên, thì đầu tiên PC cần dùng đến dịch vụ DNS để phân giải tên thành IP.
Do đó, nếu permit UDP thì phải xác thực trước khi phân giải tên -> IP. Do vậy những dịch vụ dùng tên sẽ không thể chạy được nếu chưa xác thực.

Vì thế, bạn cần deny dịch vụ DNS để dịch vụ này không cần phải xác thực.