Configuratie van verificaties bij volmacht (Cisco IOS-firewall, geen NAT)

Downloadopties

PDF (129.5 KB)
Met Adobe Reader op diverse apparaten bekijken
ePub (94.2 KB)
Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
Mobi (Kindle) (105.2 KB)
Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken

Bijgewerkt:15 augustus 2006

Document-id:13888

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

Inhoud

Inleiding

Voorwaarden

Vereisten

Gebruikte componenten

Conventies

Configureren

Netwerkdiagram

Configuratie

Verifiëren

Problemen oplossen

Gerelateerde informatie

Inleiding

Deze voorbeeldconfiguratie blokkeert aanvankelijk verkeer van externe hosts naar alle apparaten op het interne netwerk tot browser authenticatie wordt uitgevoerd met het gebruik van authenticatie proxy. De toegangslijst die van de server is doorgegeven (sta toe TCP|ip|icmp, indien er dan ook is) voegt dynamische items na autorisatie toe aan toegangslijst 115 die tijdelijk toegang van de externe pc tot het interne netwerk mogelijk maken.

Voorwaarden

Vereisten

Er zijn geen specifieke vereisten van toepassing op dit document.

Gebruikte componenten

De informatie in dit document is gebaseerd op de volgende software- en hardware-versies:

Cisco IOS® softwarerelease 12.0.7.T
Cisco 3640 router

Opmerking: De ip opdracht voor automatische proxy wordt geïntroduceerd in Cisco IOS-softwarerelease 12.0.5.T. Deze configuratie is getest met Cisco IOS-softwarerelease 12.0.7.T.

De informatie in dit document is gebaseerd op de apparaten in een specifieke laboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden een opgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van elke opdracht begrijpen.

3640 router
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname security-3640 ! aaa new-model aaa group server tacacs+ RTP server 171.68.118.115 ! aaa authentication login default group RTP none aaa authorization exec default group RTP none aaa authorization auth-proxy default group RTP enable secret 5 $1$H9zZ$z9bu5HMy4NTtjsvIhltGT0 enable password ww ! ip subnet-zero ! ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw sqlnet timeout 3600 ip inspect name myfw streamworks timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip auth-proxy auth-proxy-banner ip auth-proxy auth-cache-time 10 ip auth-proxy name list_a http ip audit notify log ip audit po max-events 100 cns event-service server ! process-max-time 200 ! interface FastEthernet0/0 ip address 40.31.1.150 255.255.255.0 ip access-group 101 in no ip directed-broadcast ip inspect myfw in no mop enabled ! interface FastEthernet1/0 ip address 11.11.11.11 255.255.255.0 ip access-group 115 in no ip directed-broadcast ip auth-proxy list_a ! ip classless ip route 0.0.0.0 0.0.0.0 11.11.11.1 ip route 171.68.118.0 255.255.255.0 40.31.1.1 ip http server ip http authentication aaa ! access-list 101 permit icmp 40.31.1.0 0.0.0.255 any access-list 101 permit tcp 40.31.1.0 0.0.0.255 any access-list 101 permit udp 40.31.1.0 0.0.0.255 any access-list 101 permit icmp 171.68.118.0 0.0.0.255 any access-list 101 permit tcp 171.68.118.0 0.0.0.255 any access-list 101 permit udp 171.68.118.0 0.0.0.255 any access-list 115 permit tcp host 11.11.11.12 host 11.11.11.11 eq www access-list 115 deny tcp any any access-list 115 deny udp any any access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo-reply access-list 115 permit icmp any 40.31.1.0 0.0.0.255 packet-too-big access-list 115 permit icmp any 40.31.1.0 0.0.0.255 time-exceeded access-list 115 permit icmp any 40.31.1.0 0.0.0.255 traceroute access-list 115 permit icmp any 40.31.1.0 0.0.0.255 unreachable access-list 115 permit icmp any 40.31.1.0 0.0.0.255 administratively-prohibited dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit ! tacacs-server host 171.68.118.115 tacacs-server key cisco radius-server host 171.68.118.115 radius-server key cisco ! line con 0 transport input none line aux 0 line vty 0 4 password ww ! ! end

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname security-3640
!
aaa new-model
aaa group server tacacs+ RTP
 server 171.68.118.115
!
aaa authentication login default group RTP none
aaa authorization exec default group RTP none
aaa authorization auth-proxy default group RTP
enable secret 5 $1$H9zZ$z9bu5HMy4NTtjsvIhltGT0
enable password ww
!
ip subnet-zero
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw sqlnet timeout 3600
ip inspect name myfw streamworks timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip auth-proxy auth-proxy-banner
ip auth-proxy auth-cache-time 10
ip auth-proxy name list_a http
ip audit notify log
ip audit po max-events 100
cns event-service server
!
process-max-time 200
!
interface FastEthernet0/0
 ip address 40.31.1.150 255.255.255.0
 ip access-group 101 in
 no ip directed-broadcast
 ip inspect myfw in
 no mop enabled
!
interface FastEthernet1/0
 ip address 11.11.11.11 255.255.255.0
 ip access-group 115 in
 no ip directed-broadcast
 ip auth-proxy list_a
!
ip classless
ip route 0.0.0.0 0.0.0.0 11.11.11.1
ip route 171.68.118.0 255.255.255.0 40.31.1.1
ip http server
ip http authentication aaa
!
access-list 101 permit icmp 40.31.1.0 0.0.0.255 any
access-list 101 permit tcp 40.31.1.0 0.0.0.255 any
access-list 101 permit udp 40.31.1.0 0.0.0.255 any
access-list 101 permit icmp 171.68.118.0 0.0.0.255 any
access-list 101 permit tcp 171.68.118.0 0.0.0.255 any
access-list 101 permit udp 171.68.118.0 0.0.0.255 any
access-list 115 permit tcp host 11.11.11.12 host 11.11.11.11 eq www
access-list 115 deny   tcp any any
access-list 115 deny   udp any any
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo-reply
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 packet-too-big
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 time-exceeded
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 traceroute
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 unreachable
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 administratively-prohibited
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
tacacs-server host 171.68.118.115
tacacs-server key cisco
radius-server host 171.68.118.115
radius-server key cisco

!
line con 0
 transport input none
line aux 0
line vty 0 4
 password ww
!
!
end

Verifiëren

Er is momenteel geen verificatieprocedure beschikbaar voor deze configuratie.

Problemen oplossen

Deze sectie bevat informatie waarmee u problemen met de configuratie kunt oplossen.

Raadpleeg voor deze opdrachten, samen met andere informatie over probleemoplossing, de verificatieproxy voor probleemoplossing.

Opmerking: Raadpleeg Belangrijke informatie over debug Commands voordat u debug-opdrachten afgeeft.

Gerelateerde informatie

Revisiegeschiedenis

Revisie	Publicatiedatum	Opmerkingen
1.0	15-Aug-2006	Eerste vrijgave

Configuratie van verificaties bij volmacht (Cisco IOS-firewall, geen NAT)

Downloadopties

Inclusief taalgebruik

Over deze vertaling

Inhoud

Revisiegeschiedenis

Was dit document nuttig?

Contact Cisco

Dit document is van toepassing op deze producten