Lab: Thực hiện cut-through cơ bản

Tín Phan

Jir0w

Elite

Join Date: Aug 2019
Posts: 722

Lab: Thực hiện cut-through cơ bản

23-09-2020, 01:54 PM

Hình 2.1

1. Mô tả

Thực hiện việc xác thực cho tất cả các loại dịch vụ hoạt động trên TCP cho các PC thuộc mạng 192.168.1.0/24. Dùng local database để thực hiện xác thực.

Những dịch vụ cho phép thực hiện xác thực:

HTTP (80).
HTTPS (443).
FTP (21).
TELNET (23).

2. Cấu hình

Xác định luồng dữ liệu sẽ được xác thực, những luồng dữ liệu được cho phép trong ACL sẽ được xác thực:

Code:

ciscoasa(config)# access-list AUTHEN permit tcp 192.168.1.0 255.255.25.0 any

Lưu ý: Trong trường hợp ACL là permit ip hoặc permit udp, thì những dịch vụ yêu cầu sự phân giải qua DNS, sẽ không hoạt động được, do đó cần thực hiện deny đối với dịch vụ DNS.

Cho phép echo-reply trở về:

Code:

ciscoasa(config)# access-list PING permit icmp any 192.168.1.0 255.255.255.0 echo-reply

ciscoasa(config)# access-group PING in interface outside

Tắt tính năng NAT (tùy chọn):

Code:

ciscoasa(config)# no nat-control

Định nghĩa local database:

Code:

ciscoasa(config)# username vnpro password vnpro

Kích hoạt tính năng Cut-through proxy cho tất cả luồng dữ liệu xuất phát từ cổng inside mà so trùng với ACL:

Code:

ciscoasa(config)# aaa authentication match AUTHEN inside LOCAL

3. Cấu hình đầy đủ

ciscoasa

Code:

[INDENT][SIZE=14px][FONT=Tahoma]ASA Version 7.2(3)

!

hostname ciscoasa

enable password 8Ry2YjIyt7RRXU24 encrypted

names

!

interface Ethernet0/0

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.0

!

interface Ethernet0/1

nameif outside

security-level 0

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet0/2

shutdown

no nameif

no security-level

no ip address

!

interface Ethernet0/3

shutdown

no nameif

no security-level

no ip address

!

interface Management0/0

shutdown

no nameif

no security-level

no ip address

!

[B]access-list AUTHEN extended permit tcp 192.168.1.0 255.255.25.0 any[/B]

[B]access-list PING extended permit icmp any 192.168.1.0 255.255.255.0 echo-reply[/B]

 

[B]access-group PING in interface outside[/B]

route outside 0.0.0.0 0.0.0.0 192.168.2.2 1

 

timeout uauth 0:05:00 absolute

[B]aaa authentication match AUTHEN inside LOCAL[/B]

!

[B]username vnpro password e8rujZhPXEdSbbnI encrypted[/B][/FONT][/SIZE][/INDENT]
 
[SIZE=14px][FONT=Tahoma] [/FONT][/SIZE]

GATEWAY

Code:

[INDENT][SIZE=14px][FONT=Tahoma]Building configuration...

Current configuration : 1191 bytes

!

hostname GATEWAY

!

interface FastEthernet0/0

ip address 192.168.2.2 255.255.255.0

[B]ip nat inside[/B]

ip virtual-reassembly

duplex auto

speed auto

!

interface FastEthernet0/1

[B]ip address dhcp[/B]

[B]ip nat outside[/B]

ip virtual-reassembly

duplex auto

speed auto

!

[B]ip route 192.168.1.0 255.255.255.0 192.168.2.1[/B]

!

[B]ip nat inside source list 1 interface FastEthernet0/1 overload[/B]

!

[B]access-list 1 permit 192.168.1.0 0.0.0.255[/B]

[B]access-list 1 permit 192.168.2.0 0.0.0.255[/B]

![/FONT][/SIZE][/INDENT]
 
[SIZE=14px][FONT=Tahoma] [/FONT][/SIZE]

4. Kiểm tra

Code:

GATEWAY#sh ip interface brief fa0/1

Interface        IP-Address       OK?   Method Status   Protocol

FastEthernet0/1 10.215.219.187   YES   DHCP    up       up

Code:

GATEWAY# sh ip route static

S 192.168.1.0/24 [1/0] via 192.168.2.1

S* 0.0.0.0/0 [254/0] via 10.215.219.254

Giao tiếp thành công với ICMP, vì ICMP không được yêu cầu thực hiện xác thực. Tuy nhiên tất cả dịch vụ hoạt động trên TCP không thể thực hiện giao tiếp cho đến khi được xác thực.

Hình 2.2

Thực hiện truy cập dịch vụ Web (hình 2.3).

Hình 2.3

Yêu cầu thực hiện xác thực nếu chưa được xác thực trước đó (hình 2.4).

Hình 2.4

Xác thực thành công (hình 2.5).

Trạng thái xác thực:

Code:

ciscoasa(config)# sh uauth

Current Most Seen

Authenticated Users 1 1

Authen In Progress 0 2

user 'vnpro' at 192.168.1.2, authenticated

absolute timeout: 0:05:00

inactivity timeout: 0:00:00

Phan Trung Tín
Email: phantrungtin@vnpro.org
.

Announcement

Lab: Thực hiện cut-through cơ bản

Lab: Thực hiện cut-through cơ bản