EVE-NG之ASAAnyconnect桥接VMWareISE实验-古蔺大橙子建站
RELATEED CONSULTING
相关咨询
选择下列产品马上在线沟通
服务时间:8:30-17:00
你可能遇到了下面的问题
关闭右侧工具栏

新闻中心

这里有您想知道的互联网营销解决方案
EVE-NG之ASAAnyconnect桥接VMWareISE实验

  近日利用EVE-NG搭建了一个SSL×××实验,在此之前一个对×××之类的玩意没有接触过,故实验花了三天时间研究。以下为实验的拓扑图。

龙华网站建设公司创新互联,龙华网站设计制作,有大型网站制作公司丰富经验。已为龙华上千家提供企业网站建设服务。企业网站搭建\外贸营销网站建设要多少钱,请找那个售后服务好的龙华做网站的公司定做!

   EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

实验说明:1. CiscoASA 9.4 用于SSL××× Server,Outside 网关192.168.83.254

          2. 主机ISE_××× 用于拔入账号认证授权,IP Address: 172.16.100.20,通过桥接连接进EVE-NG实验平台

          3. 路由器R2新建L0: 10.133.32.0/24 、L1: 10.133.33.0/24模拟内网两个网段

          4. Outside的两个主机Win0210 、Win0310分别模拟互联网两个用户user01、user02

          5. 互联网用户user01只可以防问内网网段10.133.32.0/24

          6. 互联网用户user02只可以防问内网网段10.133.33.0/24

网络设备基本设定

1. 路由器R3只设定三个接口的ip,路由不使用设定。

  interface Ethernet0/0

   ip address 192.168.2.1 255.255.255.0

  !

  interface Ethernet0/1

   ip address 192.168.83.1 255.255.255.0

  !

  interface Ethernet0/2

   ip address 192.168.3.1 255.255.255.0

2.Win0210 与 Win0310设定IP,并且网关分别指向各自接口的IP。

3.路由器R2除了设定接口IP外,还要设定一条默认路由

  interface Loopback0

   ip address 10.133.32.1 255.255.255.0

  !

  interface Loopback1

   ip address 10.133.33.1 255.255.255.0

  !

  interface Ethernet0/0

   ip address 172.16.100.254 255.255.255.0

  !

  interface Ethernet0/1

   ip address 172.16.2.254 255.255.255.0

  !

  interface Ethernet0/3

   ip address 10.133.83.1 255.255.255.0

  !

  ip route 0.0.0.0 0.0.0.0 10.133.83.254

4. Cisco ASA基本设定

# 设定×××用户获取的IP地址池

ip local pool ISE_POOL 10.133.83.32-10.133.83.64 mask 255.255.255.0

!

interface GigabitEthernet0/0

 nameif inside

 security-level 100

 ip address 10.133.83.254 255.255.255.0 

!

interface GigabitEthernet0/1

 nameif outside

 security-level 0

 ip address 192.168.83.254 255.255.255.0 

!

#设定路由

route outside 0.0.0.0 0.0.0.0 192.168.83.1 1

route inside 10.133.32.0 255.255.252.0 10.133.83.1 1

route inside 10.133.33.0 255.255.255.0 10.133.83.1 1

route inside 172.16.2.0 255.255.255.0 10.133.83.1 1

route inside 172.16.100.0 255.255.255.0 10.133.83.1 1

#设定AAA-SERVER 属性

aaa-server ISE protocol radius

 interim-accounting-update periodic 3

 merge-dacl before-avpair

 dynamic-authorization

#设定AAA-SERVER 服务器IP Address 

aaa-server ISE (inside) host 172.16.100.200

 key *****

user-identity default-domain LOCAL

#开启HTTP防问服务

http server enable

http 0.0.0.0 0.0.0.0 outside

http 10.133.32.0 255.255.252.0 inside

ssh stricthostkeycheck

ssh 172.16.100.0 255.255.255.0 inside

#开启WEB×××

web***

 enable outside

 anyconnect p_w_picpath disk0:/anyconnect-win-4.2.05015-k9.pkg 1

 anyconnect enable

 tunnel-group-list enable

 error-recovery disable

group-policy ISE_××× internal

group-policy ISE_××× attributes

 DNS-server value 172.16.200.1

 ***-tunnel-protocol ssl-client 

dynamic-access-policy-record DfltAccessPolicy

username admin password QCP00FvqVQRpzCZ/ encrypted privilege 15

# tunnel-group设定

tunnel-group ISE_AAA type remote-access

tunnel-group ISE_AAA general-attributes

 address-pool ISE_POOL

 authentication-server-group ISE

 accounting-server-group ISE

 default-group-policy ISE_×××

#开启tunnel对外服务IP Address

tunnel-group ISE_AAA web***-attributes

 group-alias ISE_AAA enable

 group-url https://192.168.83.254 enable

5.CiscoISE设定

 5.1 增加ASA的IP Addrss

 EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

 5.2增加两个用户并且放至不同的组

 EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

 5.3 分别增加两条ACL策略

 EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验
 EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

 5.4 分另增加两条授权策略,并分别调用上面的新增的ACL策略

EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

 5.5 新增Authentication策略

 EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

 5.6 分别新增两条Authorization策略

 EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

6. 以上完成后,使用user01账号测试

 

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验    EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

  user01账号登录成功

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

  以下为ISE认证记录信息

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

  ASA上面的记录

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

  主机Win0210 登录成功后的所获取的IP Address

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

  分别ping 内网两个网段的IP,因User01只有防问10.133.32.0/24的权限故可以ping通;没有10.133.33.0/24的防问权限,故不能ping通。

  EVE-NG之ASA Anyconnect  桥接VMWare  ISE实验

 


文章名称:EVE-NG之ASAAnyconnect桥接VMWareISE实验
本文网址:http://scgulin.cn/article/ipccii.html