authproxy Lab.docx

1、authproxy LabAuthentication Proxy实验拓扑 需求：1，Test_PC HTTP 到R3_Outside时，会话被劫持，并且输入如下账号获得权限:Username：AUTH password：cisco 。2，R2_IOSFW的VTY、AUX、Console不受auth-proxy的影响。3，网关路由器需提供banner信息告知客户机输入账号。初始化配置：R1_Inside配置：R2_IOSFW配置：Router(config)#hostname R2_IOSFWR2_IOSFW(config)#int s0/0R2_IOSFW(config-if)#ip add

2、 202.96.1.254 255.255.255.0R2_IOSFW(config-if)#no shuR2_IOSFW(config-if)#exitR2_IOSFW(config)#int fa0/0R2_IOSFW(config-if)#ip add 172.16.1.254 255.255.255.0R2_IOSFW(config-if)#no shuR2_IOSFW(config-if)#exitR2_IOSFW(config)#R3_Outside配置：RouterenRouter#conf tEnter configuration commands, one per line.

3、 End with CNTL/Z.Router(config)#host Router(config)#host R3_OutsideR3_Outside(config)#int s0/0R3_Outside(config-if)#ip add 202.96.1.1 255.255.255.0R3_Outside(config-if)#no shuR3_Outside(config-if)#exitR3_Outside(config)#ip route 172.16.1.0 255.255.255.0 202.96.1.254R3_Outside(config)#ip http server

4、R3_Outside(config)#ip http authentication local R3_Outside(config)#username AUTH privilege 15 password cisco线下保护配置：R2_IOSFW配置：R2_IOSFW(config)#aaa new-model /开启3AR2_IOSFW(config)#aaa authentication login NOACS line none /验证策略R2_IOSFW(config)#line vty 0 4R2_IOSFW(config-line)#login authentication NOA

5、CSR2_IOSFW(config-line)#exitR2_IOSFW(config)#line console 0R2_IOSFW(config-line)#login authentication NOACSR2_IOSFW(config-line)#exitR2_IOSFW(config)#line aux 0R2_IOSFW(config-line)#login authentication NOACSR2_IOSFW(config-line)#exitR2_IOSFW(config)#Auth-proxy配置：R2_IOSFW配置：R2_IOSFW(config)#tacacs-s

6、erver host 172.16.1.1 key cisco /定义AAA服务器R2_IOSFW(config)#ip http server /开启HTTP服务R2_IOSFW(config)#ip http authentication aaaR2_IOSFW(config)#access-list 1 deny any R2_IOSFW(config)#ip http access-class 1 /deny全部HTTP网管流量R2_IOSFW(config)#aaa authentication login default group tacacs+ /因auth-proxy不像vt

7、y等有地方调用，所以使用default。R2_IOSFW(config)#aaa authorization auth-proxy default group tacacs+ /authorization策略R2_IOSFW(config)#ip auth-proxy name Auth-Proxy http /创建名为Auth-Proxy的验证代理R2_IOSFW(config)#ip auth-proxy auth-proxy-banner http /创建banner，仅仅是提示而已Enter TEXT message. End with the character Welcome to

8、 gzccie.lab R2_IOSFW(config)#R2_IOSFW(config)#ip access-list extended Auth-Proxy /扩展ACL用于deny出外网流量，也为授权成功后下发的ACL提供覆盖位置R2_IOSFW(config-ext-nacl)#permit tcp host 172.16.1.1 eq tacacs host 172.16.1.254R2_IOSFW(config-ext-nacl)#deny ip any any R2_IOSFW(config-ext-nacl)#exitR2_IOSFW(config)#R2_IOSFW(conf

9、ig)#interface fa0/0R2_IOSFW(config-if)#ip access-group Auth-Proxy inR2_IOSFW(config-if)#ip auth-proxy Auth-ProxyR2_IOSFW(config-if)#exitR2_IOSFW(config)#测试跟ACS服务器连动情况：ACS服务器配置：第一步：添加客户端。第二步：添加客户端后，ACS可能工作不正常，还需重启下服务。第三步：开启基于user的auth-proxy服务。第四步：新建用于auth-proxy的账号。Test_PC添加去网R3_Outside路由：测试：在Test_PC上发起http连接，观察验证过程：验证成功后，在R2_IOSFW会有cache，基于这个cache在一定的时间再访问外部网络就不用再验证，直接调用cache。R2_IOSFW#clear ip auth-proxy cache * /清掉cache，下次访问需再验证R2_IOSFW#查看auth-proxy配置：