2. 程式人生 > >EVE-NG之ASA Anyconnect 橋接VMWare ISE實驗

EVE-NG之ASA Anyconnect 橋接VMWare ISE實驗

阿新 發佈:2017-11-13
網絡安全 ise vpn

近日利用EVE-NG搭建了一個SSLVPN實驗,在此之前一個對VPN之類的玩意沒有接觸過,故實驗花了三天時間研究。以下為實驗的拓撲圖。

技術分享

實驗說明:1. CiscoASA 9.4 用於SSLVPN Server,Outside 網關192.168.83.254

2. 主機ISE_VPN 用於拔入賬號認證授權,IP Address: 172.16.100.20,通過橋接連接進EVE-NG實驗平臺

3. 路由器R2新建L0: 10.133.32.0/24 、L1: 10.133.33.0/24模擬內網兩個網段

4. Outside的兩個主機Win0210 、Win0310分別模擬互聯網兩個用戶user01、user02

5. 互聯網用戶user01只可以防問內網網段10.133.32.0/24

6. 互聯網用戶user02只可以防問內網網段10.133.33.0/24

網絡設備基本設定

1. 路由器R3只設定三個接口的ip,路由不使用設定。

interface Ethernet0/0

ip address 192.168.2.1 255.255.255.0

!

interface Ethernet0/1

ip address 192.168.83.1 255.255.255.0

!

interface Ethernet0/2

ip address 192.168.3.1 255.255.255.0

2.Win0210 與 Win0310設定IP,並且網關分別指向各自接口的IP。

3.路由器R2除了設定接口IP外,還要設定一條默認路由

interface Loopback0

ip address 10.133.32.1 255.255.255.0

!

interface Loopback1

ip address 10.133.33.1 255.255.255.0

!

interface Ethernet0/0

ip address 172.16.100.254 255.255.255.0

!

interface Ethernet0/1

ip address 172.16.2.254 255.255.255.0

!

interface Ethernet0/3

ip address 10.133.83.1 255.255.255.0

!

ip route 0.0.0.0 0.0.0.0 10.133.83.254

4. Cisco ASA基本設定

# 設定VPN用戶獲取的IP地址池

ip local pool ISE_POOL 10.133.83.32-10.133.83.64 mask 255.255.255.0

!

interface GigabitEthernet0/0

nameif inside

security-level 100

ip address 10.133.83.254 255.255.255.0

!

interface GigabitEthernet0/1

nameif outside

security-level 0

ip address 192.168.83.254 255.255.255.0

!


#設定路由

route outside 0.0.0.0 0.0.0.0 192.168.83.1 1

route inside 10.133.32.0 255.255.252.0 10.133.83.1 1

route inside 10.133.33.0 255.255.255.0 10.133.83.1 1

route inside 172.16.2.0 255.255.255.0 10.133.83.1 1

route inside 172.16.100.0 255.255.255.0 10.133.83.1 1

#設定AAA-SERVER 屬性

aaa-server ISE protocol radius

interim-accounting-update periodic 3

merge-dacl before-avpair

dynamic-authorization

#設定AAA-SERVER 服務器IP Address

aaa-server ISE (inside) host 172.16.100.200

key *****

user-identity default-domain LOCAL

#開啟HTTP防問服務

http server enable

http 0.0.0.0 0.0.0.0 outside

http 10.133.32.0 255.255.252.0 inside


ssh stricthostkeycheck

ssh 172.16.100.0 255.255.255.0 inside


#開啟WEBVPN

webvpn

enable outside

anyconnect image disk0:/anyconnect-win-4.2.05015-k9.pkg 1

anyconnect enable

tunnel-group-list enable

error-recovery disable

group-policy ISE_VPN internal

group-policy ISE_VPN attributes

dns-server value 172.16.200.1

vpn-tunnel-protocol ssl-client


dynamic-access-policy-record DfltAccessPolicy

username admin password QCP00FvqVQRpzCZ/ encrypted privilege 15

# tunnel-group設定

tunnel-group ISE_AAA type remote-access

tunnel-group ISE_AAA general-attributes

address-pool ISE_POOL

authentication-server-group ISE

accounting-server-group ISE

default-group-policy ISE_VPN

#開啟tunnel對外服務IP Address

tunnel-group ISE_AAA webvpn-attributes

group-alias ISE_AAA enable

group-url https://192.168.83.254 enable

5.CiscoISE設定

5.1 增加ASA的IP Addrss

技術分享

5.2增加兩個用戶並且放至不同的組

技術分享

5.3 分別增加兩條ACL策略

技術分享
技術分享

5.4 分另增加兩條授權策略,並分別調用上面的新增的ACL策略

技術分享

5.5 新增Authentication策略

技術分享

5.6 分別新增兩條Authorization策略

技術分享

6. 以上完成後,使用user01賬號測試

技術分享 技術分享

user01賬號登錄成功

技術分享

技術分享

以下為ISE認證記錄信息

技術分享

ASA上面的記錄

技術分享

主機Win0210 登錄成功後的所獲取的IP Address

技術分享

分別ping 內網兩個網段的IP,因User01只有防問10.133.32.0/24的權限故可以ping通;沒有10.133.33.0/24的防問權限,故不能ping通。

技術分享


本文出自 “無心傷害” 博客,轉載請與作者聯系!

EVE-NG之ASA Anyconnect 橋接VMWare ISE實驗

相關推薦

EVE-NGASA Anyconnect VMWare ISE實驗

網絡安全 ise vpn 近日利用EVE-NG搭建了一個SSLVPN實驗,在此之前一個對VPN之類的玩意沒有接觸過,故實驗花了三天時間研究。以下為實驗的拓撲圖。 實驗說明:1. CiscoASA 9.4 用於SSLVPN Server,Outside 網關192.168.83.254

EVE-NGCisco FirePower 系統

cisco firepower 近日利用EVE-NG搭建了Cisco FirePower測試平臺。為了這次搭建這次測試環境,花了近一個星期時間去研究FirePower系統以及架構。因是在EVE-NG環境上搭建的,首先對電腦性能得要有一定的要求,再次就是得有耐心(安裝FMC,足足花了6個多小時)。以下測試環

移動開發設計模式-模式(IOS&Android)

資源 完全參照 橋接模式|菜鳥教程 ,但不包括IOS程式碼 橋接模式 橋接(Bridge)是用於把抽象化與實現化解耦,使得二者可以獨立變化。這種型別的設計模式屬於結構型模式,它通過提供抽象化和實現化之間的橋接結構,來實現二者的解耦。 這種模式涉及到一個作為橋接的介面,使得實體類的

EVE-NG 連線ASA ASDM

說在前面的話     Cisco Adaptive Security Device Manager (ASDM)是思科提供的基於圖形化的自適應安全裝置管理器。在我看來就是ASA影象介面管理的。這兩天在倒騰ASA,發現書上好多介紹ASDM的,所以今天

EVE-NGVMWare主機

eve-ng打開vmare的”虛擬網絡編輯器”,如下圖增加兩個虛擬網絡,VMnet2 為NAT模式,用於EVE-NG的管理網卡;VMnet8為Host主機,用於橋接至EVE-NG網絡;當然網卡的名稱以IP都可以自行定義,看個人的習慣 2. EVE-NG虛擬機網卡以及主機信息如下圖。此EVE-NG虛擬機以IOS

ENSPEve-NG

頁面 之前 加網 進行 本機 網絡 oop tro 啟動 前提 安裝ENSP且運行Router無錯誤 安裝VMware Workstation Pro 虛擬機 下載Eve-NG.ova導入虛擬機 導入完成修改參數 ----添加網絡適配器,這裏我之前已經

設計模式模式優秀的程序結構(十五)

維度 邏輯 抽象 工作 多個 lan 能夠 十分 實現 咱不要多, 就一個隱身技能, 嘿嘿嘿 定義 橋接模式(bridge): 在軟件系統中, 某些由於自身的邏輯, 它具有兩個或多個維度的變化, 那麽如何應對這種"多維度的變化"? 如何利用面向對象的技術來使得該類型能夠輕

[轉] VMware中的Ubuntu無法通過方式上網

無法聯網 基於 路由 方案 適用於 jpg 代理 訪問外網 關系 遇到的問題:主機可以上網(使用了代理),VMware設置為橋接方式連網。在主機中可以ping通虛擬機,在虛擬機中也可以ping通主機,可是在虛擬機中始終連接不了因特網。 感謝劉洋同學的博文,“在

VMware中NAT模式與方式的轉換

編輯 如果 war pts 過程 nat 點擊 vmware 模式 1.場景 安裝完虛擬機,默認配置的虛擬網絡為NAT模式,此模式虛擬機會共享宿主機ip進行連接外網,只有宿主機可以訪問虛擬機,虛擬機之間也可以互相訪問,虛擬機都在一個虛擬的子網中!如果想要讓局域網其它成員也訪

19.EVE-NG優化非官方支持鏡像的口顯示名稱

eve-ng 網絡 eve 服務器 模擬器 文章列表(關註微信公眾號EmulatedLab,及時獲取文章以及下載鏈接)1、EVE-NG介紹(EVE-NG最好用的模擬器,仿真環境時代來臨!)2、EVE-NG安裝過程介紹3、EVE-NG導入Dynamips和IOL4、EVE-NG導入QEMU鏡

設計模式十八:模式(Bridge)

ora 它的 pla sin string src ams down ng- 橋接模式: 將抽象部分和它的實現部分相分離開來,以使它們能夠單獨地變化。 UML圖: 主要包含: Abstraction:定義了抽象部分的接口。操作一個實現部分對

結構型模式

java與模式 nes class alt print 理解 draw 構圖 circle GOF對橋接模式(Bridge)的定義是:將抽象部分和它的實現部分分離,使它們可以獨立地變化。這裏需要記錄一些概念,參考自《Java與模式》一書: 抽象化:存在於多個實體中的共同的概

轉:VMware中CentOS配置靜態IP進行網絡訪問(NAT方式和模式)

name nat模式 定義 終端 star static state alt 相關 傳送門:http://blog.csdn.net/zhangatle/article/details/77417310 其實這個博主的博客最是適合新手學習,踩過的坑讓我再踩一踩,印象深刻

VMware Bridge 復制物理網絡連狀態

路由 復制 vmw 交換機 網絡連接狀態 vm虛擬機 重新 tps 網絡連接 https://zhidao.baidu.com/question/535593443.html 意思就是說,VM上使用的是虛擬的網卡,也就是說VM虛擬機上的網卡不是真實存在的,而橋接還有其他的

設計模式模式 Bridge

sed lap println 模式 generated this blog opened es2017 代碼實現 public interface Brand { void sale(); } class Lenovo implemen

針對VMware虛擬機NAT無法使用解決方案——的力量!

bit 找到 abi -1 技術 這就是 win 不能上網 需要 由於校園網的識別共享機制會誤將虛擬機的NAT搭建方式識別為共享方式。在這裏我需要解釋一下NAT和橋接之間的差別: NAT在進行網絡連接的時候,會將宿主機當做一個路由器使用,這樣做的好處是可以將私有ip地址轉換

vmware丶僅主機丶net模式的區別

子網掩碼 經驗 運行 如果 idg ip地址配置 網絡 網上 註意 VMWare提供三種工作模式橋接(bridge)、NAT(網絡地址轉換)和host-only(主機模式)。 橋接模式   在橋接模式下,VMWare虛擬出來的操作系統就像是局域網中的一臺獨立的主機(主機

設計模式模式

span ridge -s ring 獨立 橋接 ont rgs rri 橋接模式:將抽象部分與它的實現部分分離,使它們都可以獨立地變化。 public abstract class PhoneApp { public abstract void funcio

Xshell連VMware下Linux系統

pan 每次 分享 sso 下載 img 臨時 配置文件 查看 VMware下Ubuntu虛擬機橋接模式連接Xshell 在橋接模式下,VMWare虛擬出來的操作系統就像是局域網中的一臺獨立的主機(主機和虛擬機處於對等地位),它可以訪問網內任何一臺機器。 1、選擇

C#設計模式模式(Bridge)【結構型】

升級 方向 implement 詳細 .cn mage names 這樣的 意圖 一、引言 今天我們要講【結構型】設計模式的第二個模式,該模式是【橋接模式】,也有叫【橋模式】的。大家第一次看到這個名稱會想到什麽呢?我第一次看到這個模式根據名稱猜肯定是連接什麽東西的。因為