ip nat inside source static tcp 1921681201 3389 218603625 X(X=除3389以外的任意端口,由于3389已经配置了这时可以更改任意的端口映射第二台服务器的3389端口)
记得采纳。
一 前言
通过往期3篇文章《思科ISE 对公司访客进行Portal 认证》,《思科ISE对有线接入用户进行MAC认证》,《思科ISE对有线接入用户进行8021X认证》的学习,想必大家对网络准入已经很熟悉了。了解了每一种准入方案的使用场景,为网络的安全起到了更大的保障。
通常情况下,我们在创建ACL时都是在路由器或者防火墙上进行创建,由于每个用户对应的ACL条目并不多,如果路由器或者防火墙上的ACL条目过多时,会降低它们的性能;我们可以在AAA服务器上创建ACL,当有用户要访问网络资源时,用户需要输入用户名和密码,然后AAA服务器将这个用户所对应的ACL条目动态地下发到目标主机上,从而实现针对不同授权的用户,实现不同网络权限的访问。
二 VLAN配置下发简介
本案例以授权ACL和动态VLAN为例,简单介绍如何通过思科ISE为终端用户授权。
一 实验拓扑
二 组网需求
如上图所示,某公司内部大量员工终端通过SwitchA上的接口GE1/0/1接入网络。为确保网络的安全性,管理员需对终端的网络访问权限进行控制,要求如下:
三 配置逻辑
华为交换机的配置逻辑如下图所示
表1 思科ISE的配置逻辑
四 实验设备及注意事项
本举例适用于华为V200R009C00及之后版本的所有交换机,Cisco ISE的版本为21,Cisco ISE作为RADIUS服务器与设备对接实现授权时,需要注意以下事项:
五 数据规划
表2 接入交换机业务数据规划
表3Cisco ISE服务器业务数据规划
六 配置步骤
Step 1 - 配置接入交换机SwitchA。
Step 2 - Cisco ISE 服务器侧配置
表4
在“Add New Standard Profile”页面,设置访问权限。
表5
口去配置cisco
的产品
,但是你要从tftp
服务器上下载或者上传配置文件到你的cisco
产品上的话
你就要另外接一条线
把你的
tftp
服务器和你的cisco
产品
连接起来
你上面的情况是超时
就说明数据并没有到达
console
连接的是电脑的
con
口
也就是串口
它的数据传输
是跟网卡的不同的1331 DM××× hub路由器的配置步骤及示例
要在Hub路由器上配置mGRE和IPSec集成,需要先配置上节的IPSec配置文件,然后按照表13-4所示步骤进行配置。
从表13-4中可以看出,DM×××上的hub路由器配置步骤还是比较多的,但只要我们掌握了其基本配置思路也就比较简单了。它的配置思路如下:
(1)使用“interface tunnel number”命令创建一个用于DM×××的mGRE隧道接口,并使用“ip address ip-address mask [secondary]”命令为它分配IP地址。
(2)使用“ip nhrp authentication string”命令配置与对spoke路由器请求连接进行身份认证的密码,所有hub和spoke路由器必须配置相同的认证密码。
(3)使用“ip nhrp map multicast dynamic”命令启用hub路由器上自动添加spoke路由器到NHRP映射中,实现动态×××连接。
(4)使用“unnel source {ip-address | type number}”命令指定隧道接口所关联的物理接口,也就是隧道源。
(5)使用“ip nhrp network-id number”命令配置一个网络ID标识DM×××所连接的NBMA网络。
(6)使用“tunnel source {ip-address | type number}”命令为同一个DM×××网络中的所有hub和spoke配置相同的隧道ID。
(7)使用“tunnel mode gre multipoint”命令配置隧道封装模式为mGRE。
(8)使用“tunnel protection ipsec profile name”命令引用上节所创建的IPSec配置文件,用来保护DM×××通信。
表13-4 DM×××上hub路由器的配置步骤
步骤
命令
说明
Step 1
interface tunnel number
例如:
Router(config)# interface tunnel 5
键入要进行×××连接的隧道(tunnel)接口号,进入接口配置模式。隧道接口是一个虚拟接口。参数number用来指定要创建或者配置的隧道接口号。可以创建的隧道接口号没有限制。
示例中创建的隧道接口号为5。
Step 2
ip address ip-address mask [secondary]
例如:
Router(config-if)# ip address 10001 2552552550
为隧道接口配置主要或者辅助IP地址。所有在同一个DM×××网络中的hub和spoke必须在同一个IP子网中。
示例中指定的隧道接口IP地址为:10001 2552552550。
Step 3
ip mtu bytes
例如:
Router(config-if)# ip mtu 1400
设置上述隧道接口可以发送IP数据包的MTU(Maximum Transmission Unit,最大传输单元)大小,以字节为单位。
Step 4
ip nhrp authentication string
例如:
Router(config-if)# ip nhrp authentication donttell
为上述隧道接口配置用于NHRP的身份认证字符串。在同一个DM×××网络中的所有hub和spoke路由器必须配置相同的NHRP身份认证字符串。示例中设置的认证字符串为donttell。
Step 5
ip nhrp map multicast dynamic
例如:
Router(config-if)# ip nhrp map multicast dynamic
允许NHRP自动添加spoke路由器到组播NHRP映射中。
Step 6
ip nhrp network-id number
例如:
Router(config-if)# ip nhrp network-id99
在上述隧道接口上启动NHRP,并指定一个网络ID。参数number用来指定一个在NBMA(NonBroadcast MultiAccess,非广播多路访问)网络中全局惟一的32位网络ID。取值范围为1~4294967295。
Step 7
tunnel source {ip-address | type number}
例如:
Router(config-if)# tunnel sourceEthernet0
为上述隧道接口设置一个源地址,其实就是指定隧道接口所对应的物理接口。示例中是与路由器Ethernet0接口关联的。
Step 8
tunnel key key-number
例如:
Router(config-if)# tunnel key 100000
(可选)为上述隧道接口启用一个ID密钥(ID key)。参数key-number用来指定用来标识隧道密钥的号码,取值范围为0~ 4,294,967,295。在同一个DM×××网络中的所有hub和spoke路由器必须配置相同的ID密钥。但如果你使用的是Cisco 6500系列交换机或者Cisco 7600系列路由器,则不要配置这个ID密钥。示例中的隧道密钥号为100000。
Step 9
tunnel mode gre multipoint
例如:
Router(config-if)# tunnel mode gre multipoint
为上述隧道接口设置封装模式为mGRE。
Step 10
tunnel protection ipsec profile name
例如:
Router(config-if)# tunnel protection ipsec profile prof
指定一个与上述隧道接口关联的IPSec配置文件。参数name用来指定IPSec配置文件名称。这个名称必须与上节介绍的,在“crypto ipsec profile name”命令中指定的配置文件名一样。示例中引用的IPSec配置文件名为prof。
Step 11
bandwidth kbps
例如:
Router(config-if)# bandwidth 1000
设置上述隧道接口当前的带宽值。参数kbps是以Kbps为单位指定隧道接口带宽值。默认值为9,建议值为1000,甚至更高。如果在隧道接口上启用了EIGRP路由协议,则这个带宽值至少为1000。带宽值的大小主要依据hub所支持的spoke数量。
Step 12
ip tcp adjust-mss max-segment-size
例如:
Router(config-if)# ip tcp adjust-mss1360
调整TCP包通过路由器时的MSS(Maximum Segment Size,最大数据段大小)。参数max-segment-size是以字节为单位指定MSS,取值勤范围为500 ~ 1460。当IP MTU值设置为1400时,建议MSS值设置为1360。
Step 13
ip nhrp holdtime seconds
例如:
Router(config-if)# ip nhrp holdtime450
改变NHRP NBMA地址作为在权威NHRP响应有效通告的时间,也就是改变NHRP NBMA地址可以在多长时间内被通告才算有效。参数seconds是以秒为单位指定NBMA地址有效通告的时间,建议的取值范围为300~600秒。示例中设置的NHRP响应保持时间为450秒。
Step 14
delay number
例如:
Router(config-if)# delay 1000
(可选)为在隧道接口上学习的路由修改EIGRP路由度量。参数number用来以秒为单位指定延时,建议值为1000。
1332 DM××× hub路由器的配置命令
本节要介绍在上节介绍的DM××× hub路由器配置步骤中的一些主要配置命令,以便更深入地理解这些命令功能和应用。
1 “ip mtu”命令
“ip mtu bytes”接口配置模式命令用来设置在接口上可以传输的最大IP包大小,单位为字节。默认大小为128KB。如果设置了MTU,则当数据包超过这个大小时会对数据包分段,然后在接收方再进行重新组装。如果要恢复到默认的MTU值,则可使用“no ip mtu”命令。
以下示例是为s0接口设置MTU值为300Byte。
interface serial 0
ip mtu 300
2 “ip nhrp authentication”命令
“ip nhrp authentication string”接口配置模式命令用来为接口配置使用NHRP进行身份认证的字符串(最多8个字符)。可使用前面带“no”关键字的该命令删除原来使用该命令所做的这个认证字符串配置。这个认证字符串要在源和目的站点同时配置,而且必须一样,以控制只有经过认证的NHRP站点可以与之进行通信。在同一个逻辑NBMA网络中的所有配置了NHRP的路由器必须共享相同的认证字符串。
以下示例是在启用了NHRP的接口配置NHRP认证字符串为specialxx。
ip nhrp authentication specialxx
3 “ip nhrp map multicast dynamic”命令
“ip nhrp map multicast dynamic”接口配置模式命令用来设置允许NHRP自动添加spoke路由器到组播NHRP映射中。要禁止这种功能,可使用前面带“no”关键字的该命令。
在spoke路由器需要发起mGRE和IPSec隧道,并注册它们的单播NHRP映射时需要使用该命令。该命令需要启用动态路由协议与mGRE和IPSec一起工作,因为IGP路由协议使用组播包。这个命令就避免了hub路由器为每个spoke路由器在组播映射中需要配置一个单独的配置行。
以下示例显示了如何在hub路由器上启用这个“ip nhrp map multicast dynamic”命令,使hub路由器自动添加spoke路由器到组播NHRP映射中。
crypto ipsec profile prof
set transform-set trans2
!
interface Tunnel0
bandwith 1000
ip address 10001 2552552550
ip mtu 1436
ip nhrp authentication test
ip nhrp map multicast dynamic
ip nhrp network-id 100000
ip nhrp holdtime 600
no ip split-horizon eigrp 1
delay 1000
tunnel source Ethernet0
tunnel mode gre multipoint
tunnel key 100000
tunnel protection ipsec profile prof
!
interface Ethernet0
ip address 101701 2552552550
4 “ip nhrp network-id”命令
“ip nhrp network-id number”接口配置模式命令用来在接口上启用NHRP。要在接口上禁用NHRP,则可以使用前面带“no”关键字的该命令。参数用来指定要一个NBMA网络中惟一的32位网络ID,取值范围为1~4294967295。通常在一个逻辑NBMA网络中的所有站点必须配置相同的网络ID。
5 “tunnel source”命令
“tunnel source {ip-address | interface-type interface-number}”接口配置模式命令用来设置隧道接口源地址,也就是它关联的物理接口。要删除隧道接口的源地址,则可使用前面带“no”关键字的该命令。参数ip-address用来指定在隧道中使用该IP地址作为包的源地址。参数“interface-type interface-number”用来指定在隧道中使用该接口作为包的源地址。默认是没有设置隧道接口源地址。但不能有两个使用相同封装模式,且具有相同源和目的地址的隧道。
以下示例显示了如何为GRE隧道设置一个隧道源地址
Router(config)# interface tunnel 0
Router(config-if)# tunnel source ethernet0 !---配置隧道源地址为ethernet0接口所对应的IP地址
Router(config-if)# tunnel destination 13110816419 !---配置隧道目的地址为13110816419
Router(config-if)# tunnel mode gre ip
6 “tunnel key”命令
“tunnel key key-number”接口配置模式命令用来为隧道接口启用一个ID密钥,仅应用于GRE。参数key-number用来指定隧道接口ID密钥号,取值范围为0~4294967295。这个命令可作为一种弱的安全保护措施,预防非法配置,或者来自外部的包注入。一旦配置了隧道ID密钥,则所有包都将携带这个ID密钥,不建议使用这个意义并不大的安全配置。要删除原来配置的这个密钥,则可使用无参数和可选项的“no tunnel key”命令。默认是没有启用隧道ID密钥的。
注意当配置了隧道ID密钥,则IP组播通信将不能支持,除非这个组播通信是进程交换(process-switching)方式(还有一种交换方式就是快速交换——Fash Switching)。另外,在组播通信中,如果配置了隧道ID密钥,你必须在接口上配置“no ip mroute-cache”接口配置命令。但要注意,这仅应用于Cisco IOS 120及以前版本中。
以直示例显示如何设置隧道ID密钥为3。
Router(config-if)# tunnel key 3
7 “tunnel mode”命令
“tunnel mode gre multipoint”接口配置模式命令用来为隧道接口配置封装模式为mGRE(多点GRE),默认为GRE隧道封装模式。要恢复到默认模式,可以使用无参数和可选项的“no tunnel mode”命令。
在启用mGRE隧道后,你可以启用隧道保护命令,允许你与一个IPSec配置文件进行关联。这样组合mGRE和IPSec加密技术,就允许一个mGRE接口支持多个IPSec隧道,简化配置的大小和复杂性。
8 “tunnel protection”命令
“tunnel protection ipsec profile name [shared]”接口配置模式命令用来使隧道接口与一个IPSec配置文件进行关联。默认是没有与IPSec配置文件关联的。要禁止该隧道接口与指定IPSec配置文件关联,则要使用前面带“no”关键字的该命令。命令中的参数和可选项说明如下:
ipsec profile:通过IPSec启用GRE隧道加密。
Name:指定用于隧道加密的IPSec配置文件。这个文件名必须与“crypto ipsec profile”命令中指定的IPSec配置文件名一致。
Shared:(可选)允许隧道保护IPSec SADB(Security Association Database,安全关联数据库)共享相同的动态加密映射,取代在每个隧道接口上所创建的加密映射。
注意使用“tunnel protection”命令所指定的IPSec加密将在GRE封装后执行,而在隧道接口上配置的一个加密映射所指定的加密将在GRE封装前执行。
使用“tunnel protection”命令用来指定在GRE被添加到隧道包后,IPSec将进行加密。该命令可以应用于mGRE(多点GRE)和p-pGRE(点对点GRE)隧道中。对于p-pGRE,隧道目的地址将用作IPSec peer地址;对于mGRE隧道,可能是多点IPSec peer,这时,相应的NHRP映射NBMA目的地址来作为IPSec peer地址。
如果你希望在配置了相同本地端点(隧道源)的同一个路由器上配置两个DM××× mGRE和IPSec隧道,你必须选择shared关键字。
8 “ip tcp adjust-mss”命令
“ip tcp adjust-mss max-segment-size”接口配置模式命令用来调整通过路由器的TCP SYN包的MSS(最大分段大小),单位为字节。取值范围为500~1460字节。MSS是由发起主机确定的。当一个主机发起一个与服务器TCP会话,它通过使用在TCP SYN包中的MSS选项字段协商IP分段大小。MSS字段的值由主机上配置的MTU确定,MSS值一般要小于MTU值。默认MSS值为1500个字节。可以通过前面带“no”关键字的该命令恢复到默认MMS设置。
10 “ip nhrp holdtime”命令
“ip nhrp holdtime seconds”接口配置模式命令用来改变NHRP NBMA地址作为权威NHRP响应被有效通告的时间。参数就是指出这个保持时间长短,单位为秒。默认为7200秒,即2个小时。
该命令的配置仅影响权威响应。在Cisco IOS系统中,被通告的保持时间是告诉其他路由器保持在权威NHRP响应中的信息的时间长短。在保持时间过期后,缓存的IP-to-NBMA地址映射条目将丢弃。在NHRP缓存中可以包含静态和动态条目,静态条目永远不会过期,而动态条目会过期的,不管它是权威的,还是非权威的。
以下的示例中,NHRP地址在1个小时内在权威NHRP响应中可以有效被通告。
ip nhrp holdtime 3600
转载于:>Cisco ACS支持Windows Active Directory, Novell NDS等目录服务器,下面以Cisco ACS与Windows 2000 的Active Directory集成为例,介绍一下配置步骤:
1. 配置Cisco 5350,和其他Router成为 ACS的AAA Client
Network Configuration----输入5350 ip address; Key: Cisco; Authenticate Using : Tacacs+(Cisco IOS)
2 配置用户名/口令数据库
Exterternal User Databases-----〉Unknown User Policy--->Check the following external user database--->Select Windows NT/2000---->Sumit
External User Database----〉database configuration -----> windows NT/2000 -----> Dial permission ,check grant dialin permission---> sumit
3.配置ACS group mapping, 以配置授权
由于使用Windows Active directory的用户名作为认证,因此配置此用户的授权由ACS的组完成,然后将此group与Windows Active directory的组映射。
External User Database----〉database configuration----- windows 2000-----〉configure-----〉add config domain-list ,local----->sumit
External User Database----〉database group mapping-----〉windows nt/2000---domain ,local-
Add mapping----Windows users group, Cisco acs group group1----- sumit
4.Cisco 5350和Router的配置
对于Router,配置ACS认证,授权。
配置一个本地的用户名/口令,防止在ACS认证失败后,使用此用户名/口令。
Router#username localusr pass usrpass
Router#config terminal
配置ACS认证
Router(config)#aaa new-model
Router(config)#aaa authentication login vty-login group tacacs local
配置ACS授权
Router(config)#aaa authorization exec exec-vty group tacacs
指定ACS Server地址
Router(config)#tacacs host acsipaddress key Cisco
应用到VTY上
Router(config)# line vty 0 4
Router(config-line)#login authentication vty-login
Router(config-line)#authorization exec exec-vty
对于Cisco 5350 访问服务器,除了上述步骤外,还需增加如下步骤 Router#aaa authentication ppp default group tacacs local
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)