近日利用EVE-NG搭建了一个SSL×××实验,在此之前一个对×××之类的玩意没有接触过,故实验花了三天时间研究。以下为实验的拓扑图。
成都创新互联是一家集成都网站建设、成都网站设计、网站页面设计、网站优化SEO优化为一体的专业网站制作公司,已为成都等多地近百家企业提供网站建设服务。追求良好的浏览体验,以探求精品塑造与理念升华,设计最适合用户的网站页面。 合作只是第一步,服务才是根本,我们始终坚持讲诚信,负责任的原则,为您进行细心、贴心、认真的服务,与众多客户在蓬勃发展的市场环境中,互促共生。
实验说明:1. CiscoASA 9.4 用于SSL××× Server,Outside 网关192.168.83.254
2. 主机ISE_××× 用于拔入账号认证授权,IP Address: 172.16.100.20,通过桥接连接进EVE-NG实验平台
3. 路由器R2新建L0: 10.133.32.0/24 、L1: 10.133.33.0/24模拟内网两个网段
4. Outside的两个主机Win0210 、Win0310分别模拟互联网两个用户user01、user02
5. 互联网用户user01只可以防问内网网段10.133.32.0/24
6. 互联网用户user02只可以防问内网网段10.133.33.0/24
网络设备基本设定
1. 路由器R3只设定三个接口的ip,路由不使用设定。
interface Ethernet0/0
ip address 192.168.2.1 255.255.255.0
!
interface Ethernet0/1
ip address 192.168.83.1 255.255.255.0
!
interface Ethernet0/2
ip address 192.168.3.1 255.255.255.0
2.Win0210 与 Win0310设定IP,并且网关分别指向各自接口的IP。
3.路由器R2除了设定接口IP外,还要设定一条默认路由
interface Loopback0
ip address 10.133.32.1 255.255.255.0
!
interface Loopback1
ip address 10.133.33.1 255.255.255.0
!
interface Ethernet0/0
ip address 172.16.100.254 255.255.255.0
!
interface Ethernet0/1
ip address 172.16.2.254 255.255.255.0
!
interface Ethernet0/3
ip address 10.133.83.1 255.255.255.0
!
ip route 0.0.0.0 0.0.0.0 10.133.83.254
4. Cisco ASA基本设定
# 设定×××用户获取的IP地址池
ip local pool ISE_POOL 10.133.83.32-10.133.83.64 mask 255.255.255.0
!
interface GigabitEthernet0/0
nameif inside
security-level 100
ip address 10.133.83.254 255.255.255.0
!
interface GigabitEthernet0/1
nameif outside
security-level 0
ip address 192.168.83.254 255.255.255.0
!
#设定路由
route outside 0.0.0.0 0.0.0.0 192.168.83.1 1
route inside 10.133.32.0 255.255.252.0 10.133.83.1 1
route inside 10.133.33.0 255.255.255.0 10.133.83.1 1
route inside 172.16.2.0 255.255.255.0 10.133.83.1 1
route inside 172.16.100.0 255.255.255.0 10.133.83.1 1
#设定AAA-SERVER 属性
aaa-server ISE protocol radius
interim-accounting-update periodic 3
merge-dacl before-avpair
dynamic-authorization
#设定AAA-SERVER 服务器IP Address
aaa-server ISE (inside) host 172.16.100.200
key *****
user-identity default-domain LOCAL
#开启HTTP防问服务
http server enable
http 0.0.0.0 0.0.0.0 outside
http 10.133.32.0 255.255.252.0 inside
ssh stricthostkeycheck
ssh 172.16.100.0 255.255.255.0 inside
#开启WEB×××
web***
enable outside
anyconnect p_w_picpath disk0:/anyconnect-win-4.2.05015-k9.pkg 1
anyconnect enable
tunnel-group-list enable
error-recovery disable
group-policy ISE_××× internal
group-policy ISE_××× attributes
dns-server value 172.16.200.1
***-tunnel-protocol ssl-client
dynamic-access-policy-record DfltAccessPolicy
username admin password QCP00FvqVQRpzCZ/ encrypted privilege 15
# tunnel-group设定
tunnel-group ISE_AAA type remote-access
tunnel-group ISE_AAA general-attributes
address-pool ISE_POOL
authentication-server-group ISE
accounting-server-group ISE
default-group-policy ISE_×××
#开启tunnel对外服务IP Address
tunnel-group ISE_AAA web***-attributes
group-alias ISE_AAA enable
group-url https://192.168.83.254 enable
5.CiscoISE设定
5.1 增加ASA的IP Addrss
5.2增加两个用户并且放至不同的组
5.3 分别增加两条ACL策略
5.4 分另增加两条授权策略,并分别调用上面的新增的ACL策略
5.5 新增Authentication策略
5.6 分别新增两条Authorization策略
6. 以上完成后,使用user01账号测试
user01账号登录成功
以下为ISE认证记录信息
ASA上面的记录
主机Win0210 登录成功后的所获取的IP Address
分别ping 内网两个网段的IP,因User01只有防问10.133.32.0/24的权限故可以ping通;没有10.133.33.0/24的防问权限,故不能ping通。
另外有需要云服务器可以了解下创新互联scvps.cn,海内外云服务器15元起步,三天无理由+7*72小时售后在线,公司持有idc许可证,提供“云服务器、裸金属服务器、高防服务器、香港服务器、美国服务器、虚拟主机、免备案服务器”等云主机租用服务以及企业上云的综合解决方案,具有“安全稳定、简单易用、服务可用性高、性价比高”等特点与优势,专为企业上云打造定制,能够满足用户丰富、多元化的应用场景需求。