实验4-p118防火墙AAA服务配置
从这个实验开始,每一个实验都是长篇大论😓
不过有好兄弟会替我出手
注意:1. gns3.exe必须以管理员身份打开,否则ping不通虚拟机。
- win10虚拟机无法做本次实验,必须用学校给的虚拟机。
- 首次连线先连防火墙e4接口到随便一个器件,然后它会报一个udp相关的错误,这个接口就报废了(看起来没问题,实际已经报废了)。然后再去正常操作,就不会报废接口了。
1. 实验目的
通过该实验掌握PIX/ASA防火墙AAA服务的配置,熟悉AAA服务器的认证,授权,审计配置。
2. 实验任务
- 在虚拟机上安装软件,配置AAA服务器。
- 配置防火墙的AAA服务功能。
- 查看AAA的配置,查验AAA服务功能是否正确启用。
3. 实验设备
PIX防火墙1台,CISCO 路由器(c3725)2台,交换机2台,网络连接线若干,虚拟机2003_aaa。
4. 实验拓扑图和设备接口
根据实验任务设计以下网络拓扑图
防火墙PIX的配置信息
| 序号 | interface | Type | nameif | Security level | IP Address |
|---|---|---|---|---|---|
| 1 | e0 | physical | outside | 0 | 192.168.9.3 |
| 2 | e1 | physical | inside | 100 | 133.33.33.3 |
| 3 | e2 | physical | dmz | 50 | 10.9.9.3 |
位于防火墙外部网络的路由器R1的配置信息
| 序号 | interface | IP Address |
|---|---|---|
| 1 | f0/0 | 192.168.9.1 |
位于防火墙内部网络的AAA服务器的配置信息
| 序号 | interface | IP Address |
|---|---|---|
| 1 | NAT模式VMnet8 | 133.33.33.5 |
位于防火墙DMZ区域的路由器R2的配置信息
| 序号 | interface | IP Address |
|---|---|---|
| 1 | f0/0 | 10.9.9.1 |
5. 实验命令与步骤
1. 虚拟机与主机网络配置
修改虚拟网络编辑器的NAT模式的子网ip:133.33.33.0,起始ip:133.33.33.0,结束ip:133.33.33.30。
更改虚拟机里的ipv4:133.33.33.5,网关133.33.33.3。
services.msc里启动csTacacs和CSRAdius服务
主机VMnet8网卡
2. 拷贝虚拟机
经测试,自己在win10虚拟机上安装配置cisco ACS软件,到新建用户时无法submit。
拷贝学校祖传虚拟机,改NAT模式,生成一下Mac地址。虚拟机密码为空。
3. 连线与配置
gns3.exe必须以管理员身份打开,否则ping不通虚拟机。
完成连线
注意:首次连线先连防火墙e4接口到随便一个器件,然后它会报一个udp相关的错误,这个接口就报废了(看起来没问题,实际已经报废了)。然后再去正常操作,就不会报废接口了。
C1使用VMnet8
R1配置
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#int f0/0
R1(config-if)#ip add 192.168.9.1 255.255.255.0
R1(config-if)#no sh
R1(config-if)#exit
R1(config)#ip route 0.0.0.0 0.0.0.0 192.168.9.3
R1(config)#end
R1#wr
Building configuration...
[OK]
R1#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R1(config)#line vty 0 4
R1(config-line)#password cisco123
R1(config-line)#enable password cisco123
R1(config)#end
R1#wr
Building configuration...
[OK]
R2配置
R2#conf t
Enter configuration commands, one per line. End with CNTL/Z.
R2(config)#int f0/0
R2(config-if)#ip add 10.9.9.1 255.255.255.0
R2(config-if)#no sh
R2(config-if)#exit
R2(config)#ip route 0.0.0.0 0.0.0.0 10.9.9.3
R2(config)#end
R2#wr
Building configuration...
[OK]
防火墙配置
#1. 基本配置
pixfirewall> en
Password:
pixfirewall# conf t
pixfirewall(config)# int e0
pixfirewall(config-if)# ip add 192.168.9.3 255.255.255.0
pixfirewall(config-if)# no sh
pixfirewall(config-if)# nameif outside
INFO: Security level for "outside" set to 0 by default.
pixfirewall(config-if)# exit
pixfirewall(config)# int e1
pixfirewall(config-if)# ip add 133.33.33.3 255.255.255.0
pixfirewall(config-if)# no sh
pixfirewall(config-if)# nameif inside
INFO: Security level for "inside" set to 100 by default.
pixfirewall(config-if)# exit
pixfirewall(config)# int e2
pixfirewall(config-if)# ip add 10.9.9.3 255.255.255.0
pixfirewall(config-if)# no sh
pixfirewall(config-if)# nameif dmz
INFO: Security level for "dmz" set to 0 by default.
pixfirewall(config-if)# security-level 50
pixfirewall(config-if)# end
pixfirewall# wr
Building configuration...
Cryptochecksum: addf6fa1 77e37cde d46dcc58 11a73a26
1468 bytes copied in 0.250 secs
[OK]
#2. 配置静态网络地址转换与ACL
pixfirewall# conf t
pixfirewall(config)# static (inside,outside) 192.168.9.15 133.33.33.5 netmask 255.255.255.255
pixfirewall(config)# static (dmz,outside) 192.168.9.17 10.9.9.1 netmask 255.255.255.255
pixfirewall(config)# show running static
static (inside,outside) 192.168.9.15 133.33.33.5 netmask 255.255.255.255
static (dmz,outside) 192.168.9.17 10.9.9.1 netmask 255.255.255.255
pixfirewall(config)# access-list 101 extended permit tcp any any eq telnet
pixfirewall(config)# access-list 101 extended permit tcp any any eq ftp
pixfirewall(config)# access-list 101 extended permit tcp any any eq www
pixfirewall(config)# access-list accacl extended permit tcp any any
pixfirewall(config)# access-group 101 in interface outside
pixfirewall(config)# access-group 101 in interface dmz
pixfirewall(config)# aaa-server aaa1 protocol tacacs+
#创建一个名为 aaa1 的AAA服务器组,并指定使用 TACACS+ 协议进行认证。
pixfirewall(config-aaa-server-group)# aaa-server aaa1 host 133.33.33.5
#将IP地址 133.33.33.5 添加到 aaa1 服务器组中,作为TACACS+服务器。
pixfirewall(config-aaa-server-host)# timeout 100
#设置与TACACS+服务器的通信超时时间为100秒
pixfirewall(config-aaa-server-host)# key cisco123
#设置与TACACS+服务器通信的共享密钥为 cisco123。
pixfirewall(config-aaa-server-host)# aaa authentication match 101 outside aaa1
#在 outside 接口上,对匹配访问控制列表(ACL)101 的流量使用 aaa1 服务器组进行认证
pixfirewall(config)# aaa authentication match 101 dmz aaa1
#在 dmz 接口上,对匹配ACL 101 的流量使用 aaa1 服务器组进行认证
pixfirewall(config)# aaa authorization match 101 outside aaa1
#在 outside 接口上,对匹配ACL 101 的流量使用 aaa1 服务器组进行授权
pixfirewall(config)# aaa authorization match 101 dmz aaa1
#在 dmz 接口上,对匹配ACL 101 的流量使用 aaa1 服务器组进行授权
pixfirewall(config)# aaa accounting match accacl outside aaa1
#在 outside 接口上,对匹配ACL accacl 的流量使用 aaa1 服务器组进行审计
pixfirewall(config)# aaa accounting match accacl dmz aaa1
#在 dmz 接口上,对匹配ACL accacl 的流量使用 aaa1 服务器组进行审计
pixfirewall(config)# auth-prompt prompt who
#设置认证提示信息为 who(用户认证时看到的提示)
pixfirewall(config)# auth-prompt accept welcome
#设置认证成功时的欢迎信息为 welcome
pixfirewall(config)# auth-prompt reject we do not know you
#设置认证失败时的拒绝信息为 we do not know you
pixfirewall(config)# exit
pixfirewall# wr
Building configuration...
Cryptochecksum: b096f9f6 7fb64acf 812394c0 530531e1
2272 bytes copied in 0.140 secs
[OK]
4. ACS软件配置
访问127.0.0.1:2002或点击桌面ACS Admin
在ACS软件network configuration配置AAA服务器和客户端的相关信息。
服务器端ip设置为虚拟机win2003的ip,客户端ip设置为防火墙接口的ip。
AAA服务的客户端
添加cisco用户,密码1234
List all users
创建管理员用户admin3,密码1234,赋予全部权限。
5. 实验验证
防火墙可以ping通AAA服务器,并且可以testAAA服务通信
防火墙可以ping通R1,R2。
R2可以在通过用户验证后可以输密码进R1特权模式。
扫一扫
407
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
