EVE-NG之ASAAnyconnect橋接VMWareISE實(shí)驗(yàn)-創(chuàng)新互聯(lián)

近日利用EVE-NG搭建了一個(gè)SSL×××實(shí)驗(yàn)，在此之前一個(gè)對×××之類的玩意沒有接觸過，故實(shí)驗(yàn)花了三天時(shí)間研究。以下為實(shí)驗(yàn)的拓?fù)鋱D。

成都創(chuàng)新互聯(lián)是一家集成都網(wǎng)站建設(shè)、成都網(wǎng)站設(shè)計(jì)、網(wǎng)站頁面設(shè)計(jì)、網(wǎng)站優(yōu)化SEO優(yōu)化為一體的專業(yè)網(wǎng)站制作公司，已為成都等多地近百家企業(yè)提供網(wǎng)站建設(shè)服務(wù)。追求良好的瀏覽體驗(yàn),以探求精品塑造與理念升華,設(shè)計(jì)最適合用戶的網(wǎng)站頁面。 合作只是第一步，服務(wù)才是根本,我們始終堅(jiān)持講誠信，負(fù)責(zé)任的原則，為您進(jìn)行細(xì)心、貼心、認(rèn)真的服務(wù),與眾多客戶在蓬勃發(fā)展的市場環(huán)境中,互促共生。

  

實(shí)驗(yàn)說明：1. CiscoASA 9.4 用于SSL××× Server，Outside 網(wǎng)關(guān)192.168.83.254

     2. 主機(jī)ISE_××× 用于拔入賬號認(rèn)證授權(quán)，IP Address: 172.16.100.20，通過橋接連接進(jìn)EVE-NG實(shí)驗(yàn)平臺

     3. 路由器R2新建L0: 10.133.32.0/24 、L1: 10.133.33.0/24模擬內(nèi)網(wǎng)兩個(gè)網(wǎng)段

     4. Outside的兩個(gè)主機(jī)Win0210 、Win0310分別模擬互聯(lián)網(wǎng)兩個(gè)用戶user01、user02

     5. 互聯(lián)網(wǎng)用戶user01只可以防問內(nèi)網(wǎng)網(wǎng)段10.133.32.0/24

     6. 互聯(lián)網(wǎng)用戶user02只可以防問內(nèi)網(wǎng)網(wǎng)段10.133.33.0/24

網(wǎng)絡(luò)設(shè)備基本設(shè)定

1. 路由器R3只設(shè)定三個(gè)接口的ip,路由不使用設(shè)定。

 interface Ethernet0/0

  ip address 192.168.2.1 255.255.255.0

 !

 interface Ethernet0/1

  ip address 192.168.83.1 255.255.255.0

 !

 interface Ethernet0/2

  ip address 192.168.3.1 255.255.255.0

2.Win0210 與 Win0310設(shè)定IP，并且網(wǎng)關(guān)分別指向各自接口的IP。

3.路由器R2除了設(shè)定接口IP外，還要設(shè)定一條默認(rèn)路由

 interface Loopback0

  ip address 10.133.32.1 255.255.255.0

 !

 interface Loopback1

  ip address 10.133.33.1 255.255.255.0

 !

 interface Ethernet0/0

  ip address 172.16.100.254 255.255.255.0

 !

 interface Ethernet0/1

  ip address 172.16.2.254 255.255.255.0

 !

 interface Ethernet0/3

  ip address 10.133.83.1 255.255.255.0

 !

 ip route 0.0.0.0 0.0.0.0 10.133.83.254

4. Cisco ASA基本設(shè)定

# 設(shè)定×××用戶獲取的IP地址池

ip local pool ISE_POOL 10.133.83.32-10.133.83.64 mask 255.255.255.0

!

interface GigabitEthernet0/0

 nameif inside

 security-level 100

 ip address 10.133.83.254 255.255.255.0

!

interface GigabitEthernet0/1

 nameif outside

 security-level 0

 ip address 192.168.83.254 255.255.255.0

!

#設(shè)定路由

route outside 0.0.0.0 0.0.0.0 192.168.83.1 1

route inside 10.133.32.0 255.255.252.0 10.133.83.1 1

route inside 10.133.33.0 255.255.255.0 10.133.83.1 1

route inside 172.16.2.0 255.255.255.0 10.133.83.1 1

route inside 172.16.100.0 255.255.255.0 10.133.83.1 1

#設(shè)定AAA-SERVER 屬性

aaa-server ISE protocol radius

 interim-accounting-update periodic 3

 merge-dacl before-avpair

 dynamic-authorization

#設(shè)定AAA-SERVER 服務(wù)器IP Address

aaa-server ISE (inside) host 172.16.100.200

 key *****

user-identity default-domain LOCAL

#開啟HTTP防問服務(wù)

http server enable

http 0.0.0.0 0.0.0.0 outside

http 10.133.32.0 255.255.252.0 inside

ssh stricthostkeycheck

ssh 172.16.100.0 255.255.255.0 inside

#開啟WEB×××

web***

 enable outside

 anyconnect p_w_picpath disk0:/anyconnect-win-4.2.05015-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

 error-recovery disable

group-policy ISE_××× internal

group-policy ISE_××× attributes

 dns-server value 172.16.200.1

 ***-tunnel-protocol ssl-client

dynamic-access-policy-record DfltAccessPolicy

username admin password QCP00FvqVQRpzCZ/ encrypted privilege 15

# tunnel-group設(shè)定

tunnel-group ISE_AAA type remote-access

tunnel-group ISE_AAA general-attributes

 address-pool ISE_POOL

 authentication-server-group ISE

 accounting-server-group ISE

 default-group-policy ISE_×××

#開啟tunnel對外服務(wù)IP Address

tunnel-group ISE_AAA web***-attributes

 group-alias ISE_AAA enable

 group-url https://192.168.83.254 enable

5.CiscoISE設(shè)定

 5.1 增加ASA的IP Addrss

 

 5.2增加兩個(gè)用戶并且放至不同的組

 

 5.3 分別增加兩條ACL策略

 
 

 5.4 分另增加兩條授權(quán)策略，并分別調(diào)用上面的新增的ACL策略

 5.5 新增Authentication策略

 

 5.6 分別新增兩條Authorization策略

 

6. 以上完成后，使用user01賬號測試

    

 user01賬號登錄成功

  

  

 以下為ISE認(rèn)證記錄信息

  

 ASA上面的記錄

  

 主機(jī)Win0210 登錄成功后的所獲取的IP Address

 

 分別ping 內(nèi)網(wǎng)兩個(gè)網(wǎng)段的IP,因User01只有防問10.133.32.0/24的權(quán)限故可以ping通；沒有10.133.33.0/24的防問權(quán)限，故不能ping通。

  

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無理由+7*72小時(shí)售后在線，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢，專為企業(yè)上云打造定制，能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

分享標(biāo)題：EVE-NG之ASAAnyconnect橋接VMWareISE實(shí)驗(yàn)-創(chuàng)新互聯(lián)
鏈接分享：http://muchs.cn/article46/dpoieg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供App開發(fā)、微信公眾號、App設(shè)計(jì)、關(guān)鍵詞優(yōu)化、營銷型網(wǎng)站建設(shè)、軟件開發(fā)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)