セキュリティ : Cisco IOS ファイアウォール

Auth-proxy 認証受信(Cisco IOS ファイアウォール、NAT 無し)設定

2015 年 10 月 17 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

このサンプル コンフィギュレーションはブラウザ認証が認証委任状の使用と行われるまで外部ホストから内部ネットワークのすべてのデバイスにトラフィックをはじめのうちはブロックします。 サーバ(割り当て TCP から渡されるアクセス・リスト|IP|icmp はあらゆる access-list 115 に)許可後一時的に外部 PC から内部ネットワークへのアクセスを許可する動的エントリを加えます。

前提条件

要件

この文書のための特定の要件がありません。

使用するコンポーネント

この文書に記載されている情報はこれらのにソフトウェアおよびハードウェア バージョン基づいています:

  • Cisco IOS か。 ソフトウェア リリース 12.0.7.T

  • Cisco 3640 ルータ

注: IP auth-proxy コマンドは Cisco IOS ソフトウェア リリース 12.0.5.T でもたらされます。 この設定は Cisco IOS ソフトウェア リリース 12.0.7.T とテストされました。

この文書に記載されている情報は特定のラボ環境のデバイスから作成されました。 この文書で使用された削除された(デフォルト)設定でデバイスすべては起動しています。 あなたのネットワークがライブである場合、あらゆるコマンドの潜在的影響を理解することを確かめて下さい。

表記法

文書規定に関する詳細については Cisco テクニカル・ティップ規定を参照して下さい。

設定例

このセクションではこの文書に説明がある機能を、設定するための情報を記載します。

注: このセクションで使用されるコマンドに関する詳細を得るのにコマンド ルックアップ ツール登録されていた顧客だけ)を使用して下さい。

ネットワーク図

この文書はこのネットワークを設定するのに使用します:

/image/gif/paws/13888/auth4.gif

設定

この文書はこの設定を使用します:

3640 ルータ
Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname security-3640
!
aaa new-model
aaa group server tacacs+ RTP
 server 171.68.118.115
!
aaa authentication login default group RTP none
aaa authorization exec default group RTP none
aaa authorization auth-proxy default group RTP
enable secret 5 $1$H9zZ$z9bu5HMy4NTtjsvIhltGT0
enable password ww
!
ip subnet-zero
!
ip inspect name myfw cuseeme timeout 3600
ip inspect name myfw ftp timeout 3600
ip inspect name myfw http timeout 3600
ip inspect name myfw rcmd timeout 3600
ip inspect name myfw realaudio timeout 3600
ip inspect name myfw smtp timeout 3600
ip inspect name myfw sqlnet timeout 3600
ip inspect name myfw streamworks timeout 3600
ip inspect name myfw tftp timeout 30
ip inspect name myfw udp timeout 15
ip inspect name myfw tcp timeout 3600
ip auth-proxy auth-proxy-banner
ip auth-proxy auth-cache-time 10
ip auth-proxy name list_a http
ip audit notify log
ip audit po max-events 100
cns event-service server
!
process-max-time 200
!
interface FastEthernet0/0
 ip address 40.31.1.150 255.255.255.0
 ip access-group 101 in
 no ip directed-broadcast
 ip inspect myfw in
 no mop enabled
!
interface FastEthernet1/0
 ip address 11.11.11.11 255.255.255.0
 ip access-group 115 in
 no ip directed-broadcast
 ip auth-proxy list_a
!
ip classless
ip route 0.0.0.0 0.0.0.0 11.11.11.1
ip route 171.68.118.0 255.255.255.0 40.31.1.1
ip http server
ip http authentication aaa
!
access-list 101 permit icmp 40.31.1.0 0.0.0.255 any
access-list 101 permit tcp 40.31.1.0 0.0.0.255 any
access-list 101 permit udp 40.31.1.0 0.0.0.255 any
access-list 101 permit icmp 171.68.118.0 0.0.0.255 any
access-list 101 permit tcp 171.68.118.0 0.0.0.255 any
access-list 101 permit udp 171.68.118.0 0.0.0.255 any
access-list 115 permit tcp host 11.11.11.12 host 11.11.11.11 eq www
access-list 115 deny   tcp any any
access-list 115 deny   udp any any
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 echo-reply
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 packet-too-big
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 time-exceeded
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 traceroute
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 unreachable
access-list 115 permit icmp any 40.31.1.0 0.0.0.255 administratively-prohibited
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!
tacacs-server host 171.68.118.115
tacacs-server key cisco
radius-server host 171.68.118.115
radius-server key cisco

!
line con 0
 transport input none
line aux 0
line vty 0 4
 password ww
!
!
end

確認事項

現在この設定用の利用可能な確認手順がありません。

トラブルシューティング

このセクションはあなたの設定をトラブルシューティングするのに使用できる情報を提供します。

これらのコマンドに関しては、他のトラブルシューティングに関する情報と共に、認証委任状のトラブルシューティングを参照して下さい。

注: デバッグ・コマンドを発行する前にデバッグ・コマンドの重要な情報を参照して下さい。

関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


関連情報


Document ID: 13888