Xin chào ! Nếu đây là lần đầu tiên bạn đến với diễn đàn, xin vui lòng danh ra một phút bấm vào đây để đăng kí và tham gia thảo luận cùng VnPro.

Announcement

Collapse
No announcement yet.

Thực hiện Cut-through cơ bản

Collapse
X
 
  • Filter
  • Time
  • Show
Clear All
new posts

  • Thực hiện Cut-through cơ bản

    Bùi Nguyễn Hoàng Long
    VnPro

    Thực hiện Cut-through cơ bản

    I. Mô tả:
    Thực hiện việc xác thực cho tất cả các loại dịch vụ hoạt động trên TCP cho các PC thuộc mạng 192.168.1.0/24. Dùng local database để thực hiện xác thực.
    Những dịch vụ cho phép thực hiện xác thực
    1. HTTP (80)
    2. HTTPS (443)
    3. FTP (21)
    4. TELNET (23)

    II. Cấu hình

    Xác định luồng dữ liệu sẽ được xác thực, những luồng dữ liệu được cho phép trong ACL sẽ không được xác thực.
    Lưu ý: Trong trường hợp ACL là permit ip hoặc permit udp, thì những dịch vụ yêu cầu sự phân giải qua DNS, sẽ không hoạt động được, do đó cần thực hiện deny đối với dịch vụ DNS
    ciscoasa(config)# access-list AUTHEN permit tcp 192.168.1.0 255.255.25.0 any

    Cho phép echo-reply trở về
    ciscoasa(config)# access-list PING permit icmp any 192.168.1.0 255.255.255.0 echo-reply
    ciscoasa(config)# access-group PING in interface outside

    Tắt tính năng NAT (tùy chọn)
    ciscoasa(config)# no nat-control

    Định nghĩa local database
    ciscoasa(config)# username vnpro password vnpro

    Kích hoạt tính năng Cut-through proxy cho tất cả luồng dữ liệu xuất phát từ cổng inside mà so khớp với ACL
    ciscoasa(config)# aaa authentication match AUTHEN inside LOCAL

    III. Cấu hình đầy đủ:

    ciscoasa

    ASA Version 7.2(3)
    !
    hostname ciscoasa
    enable password 8Ry2YjIyt7RRXU24 encrypted
    names
    !
    interface Ethernet0/0
    nameif inside
    security-level 100
    ip address 192.168.1.1 255.255.255.0
    !
    interface Ethernet0/1
    nameif outside
    security-level 0
    ip address 192.168.2.1 255.255.255.0
    !
    interface Ethernet0/2
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Ethernet0/3
    shutdown
    no nameif
    no security-level
    no ip address
    !
    interface Management0/0
    shutdown
    no nameif
    no security-level
    no ip address
    !
    access-list AUTHEN extended permit tcp 192.168.1.0 255.255.25.0 any
    access-list PING extended permit icmp any 192.168.1.0 255.255.255.0 echo-reply

    access-group PING in interface outside
    route outside 0.0.0.0 0.0.0.0 192.168.2.2 1

    timeout uauth 0:05:00 absolute
    aaa authentication match AUTHEN inside LOCAL
    !
    username vnpro password e8rujZhPXEdSbbnI encrypted

    GATEWAY
    Building configuration...

    Current configuration : 1191 bytes
    !
    hostname GATEWAY
    !
    interface FastEthernet0/0
    ip address 192.168.2.2 255.255.255.0
    ip nat inside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    interface FastEthernet0/1
    ip address dhcp
    ip nat outside
    ip virtual-reassembly
    duplex auto
    speed auto
    !
    ip route 192.168.1.0 255.255.255.0 192.168.2.1
    !
    ip nat inside source list 1 interface FastEthernet0/1 overload
    !
    access-list 1 permit 192.168.1.0 0.0.0.255
    access-list 1 permit 192.168.2.0 0.0.0.255
    !
    III. Kiểm tra

    GATEWAY#sh ip interface brief fa0/1
    Interface IP-Address OK? Method Status Protocol
    FastEthernet0/1 10.215.219.187 YES DHCP up up

    GATEWAY# sh ip route static
    S 192.168.1.0/24 [1/0] via 192.168.2.1
    S* 0.0.0.0/0 [254/0] via 10.215.219.254

    Giao tiếp thành công với ICMP, vì ICMP không được yêu cầu thực hiện xác thực. Tuy nhiên tất cả dịch vụ hoạt động trên TCP không thể thực hiện giao tiếp cho đến khi được xác thực.



    Thực hiện truy cập dịch vụ Web






    Yêu cầu thực hiện xác thực nếu chưa được xác thực trước đó



    Xác thực thành công



    Trạng thái xác thực
    ciscoasa(config)# sh uauth
    Current Most Seen
    Authenticated Users 1 1
    Authen In Progress 0 2
    user 'vnpro' at 192.168.1.2, authenticated
    absolute timeout: 0:05:00
    inactivity timeout: 0:00:00
    Phạm Minh Tuấn

    Email : phamminhtuan@vnpro.org
    Yahoo : phamminhtuan_vnpro
    -----------------------------------------------------------------------------------------------
    Trung Tâm Tin Học VnPro
    149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
    Tel : (08) 35124257 (5 lines)
    Fax: (08) 35124314

    Home page: http://www.vnpro.vn
    Support Forum: http://www.vnpro.org
    - Chuyên đào tạo quản trị mạng và hạ tầng Internet
    - Phát hành sách chuyên môn
    - Tư vấn và tuyển dụng nhân sự IT
    - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

    Network channel: http://www.dancisco.com
    Blog: http://www.vnpro.org/blog

  • #2
    Cám ơn anh vì bài viết !
    Cho em hỏi : tại sao phải từ chối dịch vụ DNS ah ?

    Comment


    • #3
      Originally posted by NgocNgao View Post
      Cám ơn anh vì bài viết !
      Cho em hỏi : tại sao phải từ chối dịch vụ DNS ah ?
      Lưu ý: Trong trường hợp ACL là permit ip hoặc permit udp, thì những dịch vụ yêu cầu sự phân giải qua DNS, sẽ không hoạt động được, do đó cần thực hiện deny đối với dịch vụ DNS

      Chào bạn,

      Nếu bạn muốn ra trang web nào đó trên Internet, hoặc sử dụng các soft kết nối đến server bằng tên, thì đầu tiên PC cần dùng đến dịch vụ DNS để phân giải tên thành IP.
      Do đó, nếu permit UDP thì phải xác thực trước khi phân giải tên -> IP. Do vậy những dịch vụ dùng tên sẽ không thể chạy được nếu chưa xác thực.

      Vì thế, bạn cần deny dịch vụ DNS để dịch vụ này không cần phải xác thực.
      Phạm Minh Tuấn

      Email : phamminhtuan@vnpro.org
      Yahoo : phamminhtuan_vnpro
      -----------------------------------------------------------------------------------------------
      Trung Tâm Tin Học VnPro
      149/1D Ung Văn Khiêm P25 Q.Bình thạnh TPHCM
      Tel : (08) 35124257 (5 lines)
      Fax: (08) 35124314

      Home page: http://www.vnpro.vn
      Support Forum: http://www.vnpro.org
      - Chuyên đào tạo quản trị mạng và hạ tầng Internet
      - Phát hành sách chuyên môn
      - Tư vấn và tuyển dụng nhân sự IT
      - Tư vấn thiết kế và hỗ trợ kỹ thuật hệ thống mạng

      Network channel: http://www.dancisco.com
      Blog: http://www.vnpro.org/blog

      Comment

      Working...
      X