Auth-proxy Authentication Inbound(Cisco IOS防火牆,無NAT)配置
簡介
此範例組態最初會封鎖從外部主機到內部網路上所有裝置的流量,直到使用驗證代理執行瀏覽器驗證為止。從伺服器向下傳遞的訪問清單(permit tcp|ip|icmp any any)將授權後動態條目新增到訪問清單115,該清單臨時允許從外部PC訪問內部網路。
必要條件
需求
本文件沒有特定需求。
採用元件
本文中的資訊係根據以下軟體和硬體版本:
-
Cisco IOS®軟體版本12.0.7.T
-
思科3640路由器
注意:ip auth-proxy指令是在Cisco IOS軟體版本12.0.5中匯入。此配置已使用Cisco IOS軟體版本12.0.7進行測試。
本文中的資訊是根據特定實驗室環境內的裝置所建立。文中使用到的所有裝置皆從已清除(預設)的組態來啟動。如果您的網路正在作用,請確保您已瞭解任何指令可能造成的影響。
慣例
設定
本節提供用於設定本文件中所述功能的資訊。
註:使用Command Lookup Tool(僅供已註冊客戶使用)可獲取本節中使用的命令的詳細資訊。
網路圖表
本檔案會使用以下網路設定:
組態
本檔案會使用以下設定:
| 3640路由器 |
|---|
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname security-3640 ! aaa new-model aaa group server tacacs+ RTP server 171.68.118.115 ! aaa authentication login default group RTP none aaa authorization exec default group RTP none aaa authorization auth-proxy default group RTP enable secret 5 $1$H9zZ$z9bu5HMy4NTtjsvIhltGT0 enable password ww ! ip subnet-zero ! ip inspect name myfw cuseeme timeout 3600 ip inspect name myfw ftp timeout 3600 ip inspect name myfw http timeout 3600 ip inspect name myfw rcmd timeout 3600 ip inspect name myfw realaudio timeout 3600 ip inspect name myfw smtp timeout 3600 ip inspect name myfw sqlnet timeout 3600 ip inspect name myfw streamworks timeout 3600 ip inspect name myfw tftp timeout 30 ip inspect name myfw udp timeout 15 ip inspect name myfw tcp timeout 3600 ip auth-proxy auth-proxy-banner ip auth-proxy auth-cache-time 10 ip auth-proxy name list_a http ip audit notify log ip audit po max-events 100 cns event-service server ! process-max-time 200 ! interface FastEthernet0/0 ip address 40.31.1.150 255.255.255.0 ip access-group 101 in no ip directed-broadcast ip inspect myfw in no mop enabled ! interface FastEthernet1/0 ip address 11.11.11.11 255.255.255.0 ip access-group 115 in no ip directed-broadcast ip auth-proxy list_a ! ip classless ip route 0.0.0.0 0.0.0.0 11.11.11.1 ip route 171.68.118.0 255.255.255.0 40.31.1.1 ip http server ip http authentication aaa ! access-list 101 permit icmp 40.31.1.0 0.0.0.255 any access-list 101 permit tcp 40.31.1.0 0.0.0.255 any access-list 101 permit udp 40.31.1.0 0.0.0.255 any access-list 101 permit icmp 171.68.118.0 0.0.0.255 any access-list 101 permit tcp 171.68.118.0 0.0.0.255 any access-list 101 permit udp 171.68.118.0 0.0.0.255 any access-list 115 permit tcp host 11.11.11.12 host 11.11.11.11 eq www access-list 115 deny tcp any any access-list 115 deny udp any any access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo-reply access-list 115 permit icmp any 40.31.1.0 0.0.0.255 packet-too-big access-list 115 permit icmp any 40.31.1.0 0.0.0.255 time-exceeded access-list 115 permit icmp any 40.31.1.0 0.0.0.255 traceroute access-list 115 permit icmp any 40.31.1.0 0.0.0.255 unreachable access-list 115 permit icmp any 40.31.1.0 0.0.0.255 administratively-prohibited dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit ! tacacs-server host 171.68.118.115 tacacs-server key cisco radius-server host 171.68.118.115 radius-server key cisco ! line con 0 transport input none line aux 0 line vty 0 4 password ww ! ! end |
驗證
目前沒有適用於此組態的驗證程序。
疑難排解
本節提供的資訊可用於對組態進行疑難排解。
如需這些命令以及其他疑難排解資訊,請參閱驗證代理疑難排解。
註:發出debug指令之前,請先參閱有關Debug指令的重要資訊。
相關資訊
修訂記錄
| 修訂 | 發佈日期 | 意見 |
|---|---|---|
1.0 |
15-Aug-2006 |
初始版本 |
意見