一、实验拓扑: 二、实验要求: ASA联动外部产品ACS做一个认证,通过这种方式控制内部用户的流量;其实还可以做授权、审计。 有时候单单抓流量控制是不方便的,因为可能该网络有很多用户连接,比如总经理、副总经理、普通员工;所以这时候要用用户、密码来控制。允许登录,不同用户的不同授权之类的。 一般认证可以对4大流量开启认证:Http、Https、FTP、Telnet。 1、希望R2在远程登录R1时候还要通过一个验证,输入用户名密码,验证成功才可以登录R1; 2、为Inside网络访问Outside网络配置穿越认证; 3、认证服务器使用ACS; 4、调整认证超时时间,绝对超时时间1小时,闲置超时时间10分钟; 5、效果:R2 Telnet R1时候,会要求输入ACS认证的用户名、密码,正确之后在输入R1真实的用户名、密码。 三、命令部署: 1、ASA上部署aaa-server配置: ASA(config)# aaa-server zhou protocol tacacs+ ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254 ASA(config-aaa-server-host)# key zhou
2、ASA测试: ASA(config)# test aaa-server authentication zhou username bb password bbbb Server IP Address or name: 10.1.2.254(timeout: 12 seconds) INFO: Authentication Successful 注意:前半部分和3-认证管理访问:ACS联动是一样的
3、R2去往R1的Telnet流量首先用ACL抓起来: ASA(config)# access-list tel extended permit tcp host 10.1.1.2 host 202.100.1.1 eq telnet
4、将ACL抓取的流量送到ACS验证: ASA(config)# aaa authentication match tel inside zhou //ACS的名字是zhou 四、验证: R2远程登录R1: R2#telnet 202.100.1.1 Trying 202.100.1.1 ... Open Username: bb Password:
User Access Verification Username: aa Password: R1>