30选5玩法|福彩30选5开奖结果321|
 

标签:asa

ASA5505密码破解

No Comments CISCO

 

1. Power-cycle your security appliance by removing and re-inserting the power plug at the power strip.

重新插拔电源线
2. When prompted, press Esc to interrupt the boot process and enter ROM Monitor mode. You should immediately see a rommon prompt (rommon #0>).
按ESC键进入ROM Monitor模式,可以看到提示符rommon #0>
3. At the rommon prompt, enter the confreg command to view the current configuration register setting: rommon #0>confreg
输入命令confreg回车,查看当前的寄存器的值
4. The current configuration register should be the default of 0x01 (it will actually display as 0x00000001). The security appliance will ask if you want to make changes to the configuration register. Answer no when prompted.
寄存器的初始值为0x01,ASA会出现询问是否改变寄存器的设置,输入no回车
5. You must change the configuration register to 0x41, which tells the appliance to ignore its saved (startup) configuration upon boot:

改变寄存器的值为0x41

rommon #1>confreg 0x41
6. Reset the appliance with the boot command:

重启设备

rommon #2>boot
7. Notice that the security appliance ignores its startup configuration during the boot process. When it finishes booting, you should see a generic User Mode prompt:

此时,ASA会跳过startup配置,启动完成后直接进入用户模式

ciscoasa>
8. Enter the enable command to enter Privileged Mode. When the appliance prompts you for a password, simply press (at this point, the password is blank):

进入特权模式,密码为空

ciscoasa>enable

Password:

ciscoasa#
9. Copy the startup configuration file into the running configuration with the following command:

------中间广告---------

将startup配置保存至running配置中

ciscoasa#copy startup-config running-config

Destination filename [running-config]?
10. The previously saved configuration is now the active configuration, but since the security appliance is already in Privileged Mode, privileged access is not disabled. Next, in configuration mode, enter the following command to change the Privileged Mode password to a known value (in this case, we’ll use the password system):

重新设置特权模式的密码为system

asa#conf t

asa(config)#enable password system
11. While still in Configuration Mode, reset the configuration register to the default of 0x01 to force the security appliance to read its startup configuration on boot:

改回寄存器的值,强制ASA从startup读取配置启动

asa(config)#config-register 0x01
12. Use the following commands to view the configuration register setting:

查看当前寄存器的值

asa(config)#exit

asa#show version
13. At bottom of the output of the show version command, you should see the following statement: Configuration register is 0x41 (will be 0x1 at next reload)
在输出的最后会看到寄存器的值会在重启设备后由0x41变成0x1
14. Save the current configuration with the copy run start command to make the above changes persistent:

保存配置

asa#copy run start

Source filename [running-config]
15. Reload the security appliance: asa# reload System config has been modified. Save? [Y]es/[N]o:yes
输入reload命令重启设备,询问是否保存配置,输入yes回车
Cryptochecksum: e87f1433 54896e6b 4e21d072 d71a9cbf
2149 bytes copied in 1.480 secs (2149 bytes/sec) Proceed with reload? [confirm]
When your security appliance reloads, you should be able to use your newly reset password to enter privileged mode.
设备重启后,你可以使用重置后的密码进入特权模式

查看ASA会话数及连接数

No Comments 网络技术 ,

 

在网络上查了下,查看ASA会话数及连接数的查看命令,先与大家分享下:
查看所有的转换表数
sohw xlate count
查看连接数
show conn count
查看所有IP地址的连接数和半连接数
show local-host | incl host|count|embryonic

ciscoasa# show local-host 192.168.1.100 brief conn

http://www.netyourlife.net/bbs/forum.php?mod=viewthread&tid=22060

cisco ASA 限制连接数配置,速率限制

No Comments 网络技术 ,

第一种:

hostname(config)# access-list allip permit ip any any设置需限制的访问列表
hostname(config)# class-map c_all_ip设置类别图
hostname(config-cmap)# match access-list allip匹配访问列表allip
hostname(config)# policy-map p_all_ip设置策略图p_all_ip
hostname(config-pmap)# class c_all_ip使用类别c_all_ip

hostname(config-pmap-c)# set connection per-client-max 50(限制每客户端连接数最大50)
hostname(config-pmap-c)# police output 250000限制此类别速率bit/s
hostname(config)# service-policy p_all_ip interface outside(将策略应用到接口,每个接口只能用一个策略图policy-map)

第二种

nat (inside) 1 172.16.0.0 255.255.0.0 tcp 50 50 udp 50 con enb限连接数tcp50,udp50

ASA与PIX?#37027;?#21035;

No Comments CISCO , ,

很多年来,Cisco PIX一直都是Cisco确定的防火墙。但是在2005年5月,Cisco推出了一个新的产品——适应性安全产品(ASA,Adaptive Security Appliance)。不过,PIX还依旧可用。我已听到很多人在多次询问这两个产品线之间的差异到底是什么。让我们来看一看。

Cisco PIX是什么?

Cisco PIX是一种专用的?#24067;?#38450;火墙。所有版本的Cisco PIX都有500系列的产品号码。最常见的家用和小型网络用产品是PIX 501;而许多中型企业则使用PIX 515作为企业防火墙。

PIX防火墙使用PIX操作系统。虽然PIX操作系统和Cisco IOS看起来非常的接近,但是对那些非常熟悉IOS的用户?#27492;擔故?#26377;足够的差异性弄得他们头昏脑胀。

PIX系列的防火墙使用PDM(PIX设备管理器,PIX Device Manager)作为图形接口。该图形界面系统是一个通过网页浏览器下载的Java程序。

?#35805;?#24773;况下,一台PIX防火?#25509;?#20010;外向接口,用来连到一台Internet路由器中,这台路由器再连到Internet上。同时,PIX也有一个内向接口,用来连到一台局域网?#25442;换?#19978;,该?#25442;换?#36830;入内部网络。

Cisco ASA是什么?

而ASA是Cisco系列中全新的防火墙和反恶意软件安全用具。(不要把这个产品和用于静态数据包过滤的PIX搞混了)

ASA系列产品都是5500系?#23567;?#20225;业版包括4种:Firewall,IPS,Anti-X,以及VPN.而对小型和中型公司?#27492;擔?#36824;有商业版本。

总体?#27492;擔珻isco一共有5?#20013;?#21495;。所有型号均使用ASA 7.2.2版本的软件,接口也非常近似Cisco PIX.Cisco PIX和ASA在性能方面有很大的差异,但是,即?#25925;茿SA最低的型号,其所提供的性能也比基础的PIX高得多。

和PIX类似,ASA也提供诸如入?#22336;?#25252;系?#24120;↖PS,intrusion prevention system),以及VPN集中器。实际上,ASA可以取代三种独立设备——Cisco PIX防火墙,Cisco VPN 3000系列集中器,以及Cisco IPS 4000系列传感器。

现在,我们已经看过了两种安全工具各自的基本情况,下面我们来看看他们互相比较的结果。

PIX对ASA

虽然PIX是一款非常优秀的防火墙,但是安全方面?#37027;?#20917;却在日新月异。仅仅使用一台静态数据包过滤防火墙来对你的网络进行保护?#35328;对?#19981;够了。对网络而言,新的威胁层出不穷——包括病毒,蠕虫,多余软件(比如P2P软件,游戏,即时通讯软件),网络欺诈,以及应用程序层面的攻击等?#21462;?

如果一台设备可以应付多种威胁,我们?#32479;?#20854;提供了“anti-X”能力,或者说它提供了“多重威胁(multi-threat)”防护。但PIX恰恰无法提供这种层次的防护。

绝大多数公司不希望采用安装一台PIX进行静态防火墙过滤,同时再使用一些其他的工具来防护其他威胁的办法。他们更希望采用一台“集所有功能于一身”的设备——或是采用一台UTM(统一威胁管理)设备。

而ASA恰好针对这些不同类型的攻击提供了防护。它甚至比一台UTM设备更厉害——不过,要成为一台真正的UTM,它还需要装一个CSC-SSM模块(CSC-SSM,内容安全以及控制安全服务,Content Security and Control Security Service)才?#23567;?#35813;模块在ASA中提供anti-X功能。如果没有CSC-SSM,那ASA的功能看起来会更像一台PIX.

那么,到底哪一个才适合你的企业呢?#31354;?#22914;我们通常所?#26723;模?#36825;要看你企?#26723;?#38656;求而定。不过,我?#25925;?#20542;向于优先选择ASA,而后才是PIX.首先,一台ASA的价格要比同样功能的PIX要低。除去成本的原因不谈,至少从逻辑上?#27492;擔?#36873;择ASA就意味着选择了更新更好的技术。

对于那些已经在使用Cisco PIX的人?#27492;擔珻isco已经提供了一个迁移?#25913;希?#20197;解决如何从Cisco PIX迁移到ASA上的问题。就我观点而言,我觉得这起码预示了一点,就是Cisco终止PIX的日子正离我们越来越近。虽然Cisco公?#26087;形?#26126;确宣布这一点,但是我认为这只是一个时间问题罢了。

序言:
              Cisco新的防火墙ASA系列已经面市了,将逐步取代PIX防火墙,网上关于ASA配置资料很少,现把我积累的ASA配置技术编写一个文档,供大家参考。如有问题,可发?#22987;?#32473;我。
1.    常用技巧…………………………………………………………………………… 1
2.    故障倒换…………………………………………………………………………… 1
3.    配置telnet、ssh及http管理…………………………………………………… 3
4.    vpn常用管理命令……………………………………………………………….. 3
5.    配置访问权限…………………………………………………………………….. 3
6.    配置sitetosite之VPN……………………………………………………………. 4
7.    webvpn配置(ssl vpn)……………………………………………………….. 4
8.    远程拨入VPN…………………………………………………………………….. 5
9.    日志服务器配置………………………………………………………………….. 6
10.    Snmp网管配置………………………………………………………………….. 7
11.    ACS配置………………………………………………………………………….. 7
12.    AAA配置…………………………………………………………………………. 7
13.    升级IOS………………………………………………………………………….. 8
14.    疑?#35328;?#30151;………………………………………………………………………….. 8
1.       常用技巧
Sh ru ntp查看与ntp有关的
Sh ru crypto 查看与vpn有关的
Sh ru | inc crypto 只是关健字过滤而已
2.       故障倒换
failover
failover lan unit primary
failover lan interface testint Ethernet0/3
failover link testint Ethernet0/3
failover mac address Ethernet0/1 0018.1900.5000 0018.1900.5001
failover mac address Ethernet0/0 0018.1900.4000 0018.1900.4001
failover mac address Ethernet0/2 0018.1900.6000 0018.1900.6001
failover mac address Management0/0 0018.1900.7000 0018.1900.7001
failover interface ip testint .1 255.255.255.0 standby 10.3.3.2
注:最好配置虚拟MAC地址
sh failover显示配置信息
write standby写入到备用的防火墙中
failover命令集如下:
configure mode commands/options:
  interface         Configure the IP address and mask to be used for failover
                    and/or stateful update information
  interface-policy  Set the policy for failover due to interface failures
  key               Configure the failover shared secret or key
  lan               Specify the unit as primary or secondary or configure the
                    interface and vlan to be used for failover communication
  link              Configure the interface and vlan to be used as a link for
                    stateful update information
  mac               Specify the virtual mac address for a physical interface
  polltime          Configure failover poll interval
  replication       Enable HTTP (port 80) connection replication
  timeout           Specify the failover reconnect timeout value for
                    asymmetrically routed sessions
sh failover 命令集如下:
  history     Show failover switching history
  interface   Show failover command interface information
  state       Show failover internal state information
  statistics  Show failover command interface statistics information
  |           Output modifiers
  <cr>
3.       配置telnet、ssh及http管理
username jiang password Csmep3VzvPQPCbkx encrypted privilege 15
aaa authentication enable console LOCAL
aaa authentication telnet console LOCAL
aaa authentication ssh console LOCAL
aaa authorization command LOCAL
http 192.168.40.0 255.255.255.0 management
ssh 192.168.40.0 255.255.255.0 inside

 

 

4.       vpn常用管理命令
sh vpn-sessiondb full l 显示site to site 之vpn通道情况
sh ipsec stats 显示ipsec通道情况
sh vpn-sessiondb summary 显示vpn汇总信息
sh vpn-sessiondb detail l 显示ipsec详?#24863;?#24687;
sh vpn-sessiondb detail svc 查看ssl client信息
sh vpn-sessiondb detail webvpn 查看webvpn信息
sh vpn-sessiondb detail full l 相当于linux下的ipsec whack –status 如果没有建立连接,则表示ipsec通道还没有建立起来。
5.       配置访问权限
可以建立对象组,设定不同的权限,如:
    object-group network testgroup
           description test
           network-object 192.168.100.34 255.255.255.255
       access-list inside_access_in line 2 extended permit ip object-group all any
       access-group inside_access_in in interface inside
6.       配置sitetosite之VPN
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map outside_map 20 match address outside_cryptomap_20_1
crypto map outside_map 20 set pfs
crypto map outside_map 20 set peer 218.16.105.48
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map interface outside
isakmp identity address
isakmp enable outside
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400
tunnel-group 218.16.105.48 type ipsec-l
tunnel-group 218.16.105.48 ipsec-attributes
pre-shared-key *
peer-id-validate nocheck
tunnel-group-map enable rules
注:打打PFS并设定以IP地址作为peer名,一个接口只能有一个加密图

 

7.             webvpn配置(ssl vpn)
webvpn
enable outside
character-encoding gb2312
csd image disk0:/securedesktop-asa-.16.pkg
svc image disk0:/sslclient-win-.154.pkg 1
svc enable
customization customization1
  title text TEST WebVPN system
  title style background-color:white;color: rgb(51,153,0);border-bottom:5px groo
ve #669999;font-size:larger;vertical-align:middle;text-align:left;font-weight:bold
tunnel-group-list enable
注:也可通过ASDM图形界面进行配置
登录后,可访问内部资源,如下例:(客户端首先要安装Java插件jre-1_5_0-windows-i586.exe,并打开浏览器的ActiveX)
1) https://sslvpn.test.com.cn 输入用户名和密码
2) 出现工具条
3) 在Enter Web Address内输入192.168.40.8即可访问内部网站
4)在browse network输入192.168.40.8即可访问共享文件
5)点击application access,即可查看端口转发设置,如使用putty访问本机的2023端口,则即可通过ssh登录192.168.40.8
8.       远程拨入VPN
相关的ASA配置命令如下:
access-list inside_access_in extended permit ip object-group remotegroup any
access-list inside_access_in extended permit icmp object-group remotegroup any
access-list remotevpn_splitTunnelAcl standard permit 192.168.100.0 255.255.255.0
access-list vpnclient_splitTunnelAcl standard permit 192.168.100.0 255.255.255.0
ip local pool dialuserIP 192.168.101.1-192.168.101.254 mask 255.255.255.0
group-policy remotevpn attributes
dns-server value 202.96.128.68 192.168.40.16
default-domain value test.com.cn
username jiang password Csmep3VzvPQPCbkx encrypted privilege 15
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto dynamic-map outside_dyn_map 20 set pfs
crypto dynamic-map outside_dyn_map 20 set transform-set ESP-3DES-SHA
crypto dynamic-map outside_dyn_map 20 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic outside_dyn_map
crypto map outside_map interface outside
tunnel-group remotevpn type ipsec-ra
tunnel-group remotevpn general-attributes
address-pool dialuserIP
default-group-policy remotevpn
tunnel-group remotevpn ipsec-attributes
pre-shared-key *
客户端设置如下:
9.       日志服务器配置
logging enable
logging timestamp
logging emblem
logging trap informational
logging asdm warnings
logging host inside 192.168.40.115 format emblem
logging permit-hostdown
vpn-simultaneous-logins 3
10.  Snmp网管配置
snmp-server host inside 192.168.40.47 community testsnmp
snmp-server location DG-GTEST
snmp-server contact jiangdaoyou:6162
snmp-server community testsnmp
snmp-server enable traps snmp authentication linkup linkdown coldstart
注:指定主机后,192.168.40.47才可能进行管理
11.  ACS配置
    安装后管理:http://ip:2002 通过ACS可以进行授权、?#29616;?#31561;等很多功能
       因内容太多,暂省略
12.  AAA配置
Aaa服务器配置:
aaa-server radius_dg host dc03.xxxx.com
key dfdfdfdf146**U
authentication-port 1812
accounting-port 1813
radius-common-pw dfdfdfdf146**U
对于拨入vpn的配置
tunnel-group vg_testerp general-attributes
address-pool ciscovpnuser
authentication-server-group radius_dg
default-group-policy vg_testerp
13.  升级IOS
copy tftp://192.168.40.180/asa/asa721-k8.bin disk0:/asa721-k8.bin
boot system disk0:/asa721-k8.bin (多个Image时使用)
14.  疑?#35328;?#30151;
1)        在远程子网不能ping通过对方的网关,如在无锡格兰不能ping 192.168.40.251
输入命令:management-access inside (通过ASDM不能设置这一项)
2)        NAT有时不能快速启作用
使用命令:clear xlate即可

网上都可以?#19994;接?#20851;ASA防火墙配置SSH的文章,但经测试后发现都有不少问题

No Comments CISCO , ,

 

ASA5500系列命令,我发现的软件版本7.0以上的正确配置方法如下:

//配置服务器端

ciscoasa(config)#crypto key generate   rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
ciscoasa(config)#write mem //保存刚刚产生的密钥
ciscoasa(config)#ssh0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0表示任何外部主机?#23492;?#36890;过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内?#23458;?#36807;SSH访问防火墙
ciscoasa(config)#ssh timeout 30   //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
//配置客户端
ciscoasa(config)#passwd 密码   //passwd命令所指定的密码为远程访问密码,同样适用于telnet

所有7.0版本以上的用户名默认为pix,其它的版本我不知道。这里可以看出ASA还有PIX的影子?#27169;?#21621;呵,网上?#26723;腁SA防火墙配置SSH通过命令"username 用户名 password密码"来创建帐号,我测试了n次都说帐号错误.由此看出软件版本7.0上的用户名都是pix.不信大家可以试试.

//相关命令
show ssh                         //参看SSH配置信息
show crypto key mypubkey rsa //查看产生的rsa密钥值
crypto key zeroize             //清空所有产生的密钥

以上命令资料都是来自ASA5500系列防火墙官方配置?#25913;?#21644;实?#20160;?#35797;通过.

cisco AAA服务器配置和充备配置

No Comments CISCO , ,

AAA代表AuthenticationAuthorizationAccounting,意为?#29616;ぁ?#25480;权、记帐,其主要目的是管理哪些用户可以访问服务器,具有访问权的用户可以得到哪些服务,如何对正在使用网络资源的用户进行记?#30465;?/strong>
1
?#29616;ぃ?#39564;证用户是否可以获得访问权限——“你是谁?
2
授权:授权用户可以使用哪些资源——“你能干什么?
3
记帐:记录用户使用网络资源?#37027;?#20917;——“你干了些什么?
好?#27169;?#31616;单的了解理论知识后,接下来我们?#25925;?#20197;实验的方式来进行讲解:
为网络提供AAA服务?#27169;?#20027;要有TACACS+RADIUS协议,我们主要介绍是TACACS+协议,因为它运行在TCP协议基础之上,更适合大型网络,特别是融合型网络
一、 实验拓扑介绍
clip_image001
该实验主要完成R1路由通过ACS服务器实现AAA?#29616;ぃ?#21253;括验证、授权和记帐,同时还包括PPP验证和计时通过cisco ACS实验
二、 安装cisco ACS
1
硬软件要求
?#24067;?/strong>Pentium IV 处理器, 1.8 GHz 或者更高
操作系?#24120;?/strong>Windows 2000 Server
Windows 2000 Advanced Server (Service Pack 4)
Windows Server 2003
Enterprise Edition or Standard
Edition (Service Pack 1)
内存:最小1GB
虚拟内存:最小1GB
硬盘空间:最小1GB可用空间,实际大小根据日志文件的增长,复制和备份的需求而定。
浏览器:Microsoft Internet Explorer 6 或者更高版本
JAVA
运行环?#24120;?/strong>Sun JRE 1.4.2_04 或更高版本
网络要求:
CISCO IOS 设备上为了全面的支持TACACS+ RADIUSAAA 客户端必须运行Cisco IOS 11.1 或者更高的版本。
CISCO IOS 设备上必须用TACACS+RADIUS或者两者一起配置。
运行ACS的主机必须能ping通所有的AAA客户端。
2
安装方法(我们用的版本是4.0版本)
打开ACS安装程序文件夹,选中setup 双击。进入安装向导,根据提示进行安装,基本为默认设置
3
安装完成后的访问
在运行ACS的主机上,通过桌面上的ACS Admin 网页图标,可以访问ACSweb格式的管理台。也可以通过网页浏览器输入地址:http://127.0.0.1:2002 来访问ACS
注:
l Windows Xp不支持cisco ACS,在此笔者是在虚机中的windows2003sever下安装的
l ACS安装完成后,一定要安装JAVA平台,否则该ACS将不能正常使用,笔者在此安装的是jre-6u12-windows-i586-p-s.exe,版本为JRE 版本 1.6.0_12 Java HotSpot(TM)
三、 ACS的配置
1
设置ACS管理员帐号
Step 1>
点击ACS界面左边的Administration control 按钮 ,然后点击Administrator control界面中的Add Administrator
clip_image002
Step 2>
点击Add administrator 后出现此账户的诸多选项,逐一填写后点击Submit
clip_image003
Step3>
设置了管理员后就可以通过web界面登录到ACS服务器对ACS进行配置
如:http://10.10.10.110:2002
2
ACS网络设置(添加Tacacs+客户端
Step1>
点击ACS界面的Network Configuration按钮 ,出现网络配置界面,然后点击Add Entry,
clip_image004
Step2>
添加Tacacs+客户端(ACS中必须指定Tacacs+客户端的名字、IP地址、key
clip_image005
3
Tacacs+设置
Step1>
点击ACS界面左边Interface configuration 按钮 ,选择TACACS+ (Cisco IOS)
clip_image006
Step2>
根据个人具体应用,在Tacacs+相关项目中打勾(如果没有将tacacs+相关项目选中,则在用户组/用户属性中将不会出现tacacs+相关项目)
clip_image007
clip_image008
4
设备端tacacs+服务器的指定
cisco设备端用以下命令指定ACS tacacs+服务器
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
5
添加用户组
Step1>
ACS界面左边点击Group Setup
clip_image009
Step2>
在下拉列表中选取某个组,给这个组重命名,接着选择Edit setting进入组的属性配置
Step3>
在组的enable option 中的Max privilege for any AAA Client设置组的级别
6
添加用户
Step1>
ACS界面的左边点击user setup 按钮
clip_image010
Step2>
user方框中填写用户名,然后点击ADD/Edit
Step3>
在出现的用户属性中逐一填写
clip_image011
Step4>
选择用户属于哪个用户组
clip_image012
Step5>
选择用户属于的级别(可以定义单个用户级别,也可以和所属的用户组级别一样)
clip_image013
Step6>
设置用户的enable 密码
clip_image014
好?#27169;?#21040;这里基本配置就算是配完了,接下来我们来演示一下AAA功能的实现
四、 ACS功能设置
1
ACS?#29616;?/strong>
a)
在设备端定义tacacs+服务器地址以及key
R1(config)# tacacs-server host 10.10.10.110
R1(config)# tacacs-server directed-request
R1(config)# tacacs-server key xinhua
b)
ACS端定义设备的IP地址(参考ACS基本配置)
c)
ACS上面建立用户名和用户组
d)
在设备端配置AAA?#29616;?/strong>
R1(config)# enable secret 123 ‘
定义enable密码
R1(config)# username abc password 456 ‘
定义本地数据库
R1(config)# aaa new-model???? ‘
启用AAA?#29616;?/strong>
R1(config)# aaa authentication login default group tacacs+ local ‘
设置登陆验证默认为采用先ACS服务器再本地验证(当ACS服务器不可达才用本地数据库验证)
R1(config)# aaa authentication enable default group tacacs+ enable ‘
设置enable进入特权模式默认为采用先ACS服务器再本地enable设置的密码
R1(config)# line vty 0 4
R1(config)# login authentication default ‘
设置telnet登陆采用前面定义的default
e)
验证
l telnet登陆:telnet 10.10.10.100,输入ACS服务器的用户名和密码,登陆成功,用本地数据库用户名和密码登陆失败(因为根据前面设置,R1首先会去ACS服务器进行验证,当ACS服务器不可达时,才会用本地数据库验证)
clip_image015
我们可以试着断开ACS与路由的连接,然后再进行登陆,这时则必须用本地数据库验证,也就是用户名为abc 密码为456
l enable进入特权测试
clip_image016
此时输入特权模式密码为ACS服务器上的密码,而非本地路由的enable密码
2
ACS授权
ACS
中可以通过设置用户组/用户的级别privilege来实现不同用户登录设备后可用的命令的不同,也可以通过使用ACS的命令授权来实现不同用户登录设备的可用命令条目,以下介绍ACS的命令授权
Step1>
ACS的界面左边的share profile components按钮
clip_image017
Step2>
点击shell command authorization sets
clip_image018

Cisco ASA packet-tracer防火墙巨有效的排错命令

No Comments CISCO , ,

Packet-Tracer
New Reader Tip: Troubleshooting Access Problems Using Packet-Tracer
Troubleshooting access problems through a firewall is often very difficult, especially when speed to resolution is critical. Errors in long complex ACLs can be
easily overlooked, and access failures caused by NAT, IDS, and routing make the problem even more difficult.
Cisco has released an incredible new feature in ASA software version 7.2(1) that virtually eliminates the guesswork. Packet-tracer allows a firewall administrator to
inject a virtual packet into the security appliance and track the flow from ingress to egress. Along the way, the packet is evaluated against flow and route lookups,
ACLs, protocol inspection, NAT, and IDS. The power of the utility comes from the ability to simulate real-world traffic by specifying source and destination addresses
with protocol and port information.
Packet-tracer is available both from the CLI and in the ASDM. The ASDM version even includes animation (the value of which is questionable, but it is fun to watch),
and the ability to navigate quickly to a failed policy.
Here is the CLI syntax:
packet-tracer input [src_int] protocol src_addr src_port dest_addr dest_port [detailed] [xml]
A few examples of truncated output show some of the most useful features. Not only does the tool show the result of an ACL evaluation, but also the specific
ACE that either permits or denies the packet, including a hit on the implicit deny.
asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.1.1 23"
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group inside in interface inside access-list inside extended permit ip any 10.4.1.0 255.255.255.0
Additional Information:
asaTestlab# "packet-tracer input inside tcp 10.1.1.1 1024 10.4.2.1 5282"
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: DROP
Config:
access-group inside in interface inside access-list inside extended deny tcp any host 10.4.2.1 eq 5282
Additional Information:
Evaluations of other elements of the config are similarly specific. Here is an example with nat-control enabled but without proper address translation defined:
asaTestlab# "packet-tracer input DMZ tcp 10.2.1.1 1024 10.4.2.1 http"
Phase: 7
Type: NAT
Subtype:
Result: DROP
Config:
nat (DMZ) 0 access-list NoNAT
nat-control
match ip DMZ any outside any
no translation group, implicit deny
policy_hits = 1
--------------------------------------------
实例,在PIX515E,OS7.2上配置remote access vpn,配置好了用vpn client连接,正常,但怎么也ping不通防火墙内网的IP地址,
这时看cliet statistics的discard的包很多,sent bytes很多,received byte为0,decrypted 为0,可以判断?#21069;?#36807;去了,但回不来,
但出在哪个地方呢,看配置文件一条一条看很?#36710;模?#20063;不容易查找问题,这时用packet-tracer 模拟一个包从外口进来到内口的数据包处理过程,
Pix1(config)# packet-tracer input outside tcp 172.16.70.200 1024 172.16.10 23
———————–模拟outside接口的地址172.16.70.200 telnet到inside接口的172.16.10
———————–数据包从outside口进来
Phase: 1
Type: FLOW-LOOKUP
Subtype:
Result: ALLOW
Config:
Additional Information:
Found no matching flow, creating a new flow
———————–查找路由,OK
Phase: 2
Type: ROUTE-LOOKUP
Subtype: input
Result: ALLOW
Config:
Additional Information:
in 172.16.100.0 255.255.255.0 inside
———————–检查outside的ACL,OK
Phase: 3
Type: ACCESS-LIST
Subtype: log
Result: ALLOW
Config:
access-group 102 in interface outside
access-list 102 extended permit ip any any
Additional Information:
Phase: 4
Type: IP-OPTIONS
Subtype:
Result: ALLOW
Config:
Additional Information:
Phase: 5
Type: CP-PUNT
Subtype:
Result: ALLOW
Config:
Additional Information:
———————–应用ipsec 协议加密,OK,这时应该是数据包从inside到outside发送了
Phase: 6
Type: VPN
Subtype: ipsec-tunnel-flow
Result: ALLOW
Config:
Additional Information:
———————–返回的数据包本应该是ipsec 加密?#27169;?#36825;时却被NAT检查,很明显nat 0忘了定义。
Phase: 7
Type: NAT
Subtype: rpf-check
Result: DROP
Config:
nat (inside) 0 access-list vpnl2l_list
nat (inside) 1 access-list 101
nat-control
match ip inside any outside any
dynamic translation to pool 1 (58.248.27.57)
translate_hits = 75970, untranslate_hits = 87806
Additional Information:
———————–最后的结果是drop
Result:
input-interface: outside
input-status: up
input-line-status: up
output-interface: inside
output-status: up
output-line-status: up
Action: drop
Drop-reason: (acl-drop) Flow is denied by configured rule

30选5玩法