root

Specialist

Config Authentication telnet ASA using Cisco ACS


Bài lab cấu hình authentication telnet ASA sử dụng Cisco ACS 5.4
- Có thể xem thêm các bài lý thuyết và Lab cisco aaa configuration
http://svuit.vn/threads/tong-hop-lab-cisco-aaa-1225/

I. Mô hình Authentication telnet ASA sử dụng Cisco ACS


1. Mô hình triển khai Authentication telnet ASA sử dụng Cisco ACS



1.jpg

2. Chuẩn bị cấu hình ASA authentication ACS


- Cấu hình telnet trên ASA cho phép PC telnet vào ASA
- Cấu hình ASA và ACS để PC telnet vào ASA sẽ yêu cầu xác thực user/pass
- Cấu hình telnet xác thực trên database local của ASA
ASAGigabitEthernet1
GigabitEthernet2
nameif:inside, IP: 192.168.20.1/24
nameif:dmz, IP: 192.168.100.1/24
ACSGigabitEthernet0IP: 192.168.100.100/24
PCIP: 192.168.20.20/24
Gateway: 192.168.20.1


II. Triển khai Authentication telnet ASA sử dụng Cisco ACS 5.4


1. Cấu hình IP và nameif trên ASA
ciscoasa(config)# int g1
ciscoasa(config-if)# nameif inside
ciscoasa(config-if)# ip address 192.168.20.1 255.255.255.0
ciscoasa(config-if)# no shutdown
ciscoasa(config-if)# int g2
ciscoasa(config-if)# nameif dmz
ciscoasa(config-if)# ip address 192.168.100.1 255.255.255.0
ciscoasa(config-if)# no shutdown
- Cấu hình telnet cho ASA. Mặc định ASA sẽ không cho telnet.
// cho phép dãi địa chỉ 192.168.20.0 vùng inside được phép telnet đến ASA
ciscoasa(config-if)# telnet 192.168.20.0 255.255.255.0 inside

//Thiết lập thời gian timeout(tính bằng phút). Mặc định là 5p
ciscoasa(config)# telnet timeout 10

//đặt password telnet
ciscoasa(config)# password svuit
- PC telnet vào ASA thành công


2. Cấu hình telnet có authentication trên ASA


- Trên ASA các bạn cấu hình để traffic telnet từ PC sẽ phải authentication trên ACS. Nghĩa là PC phải có user/pass để xác thực với ACS trước, nếu ok thì mới được telnet vào ASA
ciscoasa(config)# aaa-server ACS_5.4 protocol tacacs+
ciscoasa(config-aaa-server-group)# exit

// ACS_5.4 là tên của con ACS server
//192.168.100.100 là IP của ACS server

ciscoasa(config)# aaa-server ACS_5.4 (dmz) host 192.168.100.100

//key dùng để xác thực giữa ACS và ASA
ciscoasa(config-aaa-server-host)# key svuit.com

//Cấu hình authentication các traffic telnet.
//LOCAL: nếu con ACS bị down thì ASA sẽ thực hiện việc xác thực này trên database local của nó

ciscoasa(config-aaa-server-host)# aaa authentication telnet console ACS_5.4 LOCAL
- Bây giờ bạn qua PC telnet nó sẽ yêu cầu user/pass là đúng. Tuy nhiên, bạn không thể telnet vào ASA vì lúc này bạn chưa có tạo user/pass trên ACS cho PC

3. Cấu hình Authenticaion trên ACS


- Tao 1 device mà ACS kết nối, ở đây là ASA


- Các bạn điền thông tin
  • name: phải chính xác như trên ASA mà bạn đã khai báo ở trên
  • Single IP address: 192.168.100.1 đây chính là IP của ASA
  • Authentication options: TACACS+ và bạn phải gõ đúng key mà bạn đã gõ ở trên ASA (svuit.com)

- Tiếp theo các bạn cần tạo user cho PC


- name: admin (đây chính là username mà các bạn sẽ cấp cho PC để thực hiện chứng thực)
- Password information: Phần này các bạn điền password để chứng thực



- Bây giờ bạn qua PC và telnet vào ASA với username/pass mà bạn đặt (admin/svuit) thành công


- Và vào 1 ngày đẹp trời con ACS bị chết PC làm sao để telnet vào ASA. Nên bạn cần tao thêm user trên database LOCAL của ASA. (Bạn phải khai báo ở trên trong câu lệnh
ciscoasa(config-aaa-server-host)# aaa authentication telnet console ACS_5.4 LOCAL.
- Khi user telnet vào ASA thì nó sẽ thực hiện câu lệnh xác thực ở trên ACS trước rồi mới tới LOCAL (đèn xanh rồi tới đèn đỏ)
//tạo username/password trên ASA
ciscoasa(config-if)# username admin2 password svuit privilege 15

- Trên PC các bạn telnet với user và pass là admin2/svuit thành công


 
Sửa lần cuối:
Back
Top