近日利用EVE-NG搭建了一个SSL×××实验,在此之前一个对×××之类的玩意没有接触过,故实验花了三天时间研究。以下为实验的拓扑图。
实验说明:1. CiscoASA 9.4 用于SSL××× Server,Outside 网关192.168.83.254
2. 主机ISE_××× 用于拔入账号认证授权,IP Address: 172.16.100.20,通过桥接连接进EVE-NG实验平台
3. 路由器R2新建L0: 10.133.32.0/24 、L1: 10.133.33.0/24模拟内网两个网段
4. Outside的两个主机Win0210 、Win0310分别模拟互联网两个用户user01、user02
5. 互联网用户user01只可以防问内网网段10.133.32.0/24
6. 互联网用户user02只可以防问内网网段10.133.33.0/24
网络设备基本设定
1. 路由器R3只设定三个接口的ip,路由不使用设定。
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.83.1 255.255.255.0
!
interface Ethernet0/2
ip address 192.168.3.1 255.255.255.0
2.Win0210 与 Win0310设定IP,并且网关分别指向各自接口的IP。
3.路由器R2除了设定接口IP外,还要设定一条默认路由
interface Loopback0
ip address 10.133.32.1 255.255.255.0
!
interface Loopback1
ip address 10.133.33.1 255.255.255.0
!
interface Ethernet0/0
ip address 172.16.100.254 255.255.255.0
!
interface Ethernet0/1
ip address 172.16.2.254 255.255.255.0
!
interface Ethernet0/3
ip address 10.133.83.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.133.83.254
4. Cisco ASA基本设定
# 设定×××用户获取的IP地址池
ip local pool ISE_POOL 10.133.83.32-10.133.83.64 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.133.83.254 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 192.168.83.254 255.255.255.0
!
#设定路由
route outside 0.0.0.0 0.0.0.0 192.168.83.1 1
route inside 10.133.32.0 255.255.252.0 10.133.83.1 1
route inside 10.133.33.0 255.255.255.0 10.133.83.1 1
route inside 172.16.2.0 255.255.255.0 10.133.83.1 1
route inside 172.16.100.0 255.255.255.0 10.133.83.1 1
#设定AAA-SERVER 属性
aaa-server ISE protocol radius
interim-accounting-update periodic 3
merge-dacl before-avpair
dynamic-authorization
#设定AAA-SERVER 服务器IP Address
aaa-server ISE (inside) host 172.16.100.200
key *****
user-identity default-domain LOCAL
#开启HTTP防问服务
http server enable
http 0.0.0.0 0.0.0.0 outside
http 10.133.32.0 255.255.252.0 inside
ssh stricthostkeycheck
ssh 172.16.100.0 255.255.255.0 inside
#开启WEB×××
web***
enable outside
anyconnect p_w_picpath disk0:/anyconnect-win-4.2.05015-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy ISE_××× internal
group-policy ISE_××× attributes
dns-server value 172.16.200.1
***-tunnel-protocol ssl-client
dynamic-access-policy-record DfltAccessPolicy
username admin password QCP00FvqVQRpzCZ/ encrypted privilege 15
# tunnel-group设定
tunnel-group ISE_AAA type remote-access
tunnel-group ISE_AAA general-attributes
address-pool ISE_POOL
authentication-server-group ISE
accounting-server-group ISE
default-group-policy ISE_×××
#开启tunnel对外服务IP Address
tunnel-group ISE_AAA web***-attributes
group-alias ISE_AAA enable
group-url https://192.168.83.254 enable
5.CiscoISE设定
5.1 增加ASA的IP Addrss
5.2增加两个用户并且放至不同的组
5.3 分别增加两条ACL策略
5.4 分另增加两条授权策略,并分别调用上面的新增的ACL策略
5.5 新增Authentication策略
5.6 分别新增两条Authorization策略
6. 以上完成后,使用user01账号测试
user01账号登录成功
以下为ISE认证记录信息
ASA上面的记录
主机Win0210 登录成功后的所获取的IP Address
分别ping 内网两个网段的IP,因User01只有防问10.133.32.0/24的权限故可以ping通;没有10.133.33.0/24的防问权限,故不能ping通。
免责声明:本站发布的内容(图片、视频和文字)以原创、转载和分享为主,文章观点不代表本网站立场,如果涉及侵权请联系站长邮箱:is@yisu.com进行举报,并提供相关证据,一经查实,将立刻删除涉嫌侵权内容。