Authentication Proxy原理
authen-proxy配置 (用于ROUTER,PPP口)
ip auth-proxy name ...http [list ...] 可以限定具体用户认证
list ..可以针对具体网段的用户进行认证
permit的需要认证
deny的不需要认证,反而可以直接穿过去
ip auth-proxy新feature,支持telnet,ftp
ip auth-proxy name ... {ftp | http| telnet} [list...]
option
ip auth-proxy auth-cache-timemin
用户的条目存活时间是,
缺省60min
ip auth-proxy auth-proxy-banner
设置auth-proxy的banner, 缺省是disable
ip auth-proxy {inactivity-timer ... | absolute-timer...}
verifty
show ip auth-proxy
- 当一个用户发起HTTP访问穿过ROUTER,the authentication proxy is triggered(在接口截获用户通过ROUTER的http包进行认证)
- auth proxy先检查现存的entry有没有此用户的entry
- 没有,就根据其http request包,发回一个http repond包,但显示的是一个认证网页(ip httpserver提供)
- 用户在认证网页输入的username/passwd被proxy到aaa server
- 用户属于用户名密码正确,一个entry被建立,以后用户再访问就不必重复认证了
- 如果radius server返回认证失败,则该连接被中断
- 要求认证用户不一定直连到起用ipauth-proxy的接口。可以是远程用户,只要他HTTP包通过ROUTER,就会被截获并强行认证
aaa new-model ! radius-server host 192.168.126.14 radius-server key cisco ! aaa authorizationauth-proxy default groupradius |
ip auth-proxy name pxy httplist 10 auth-cache-time3 access-list 10 permit any ! interface Serial2/0:23 |
interface Serial2/0:23 ! access-list 105 deny access-list 105 deny access-list 105 permit ip any any 接口先deny,否则认证没什么意义 为避免这种”不认证反而直接穿过去”的问题,在接口设置过滤 |
起用HTTP访问ROUTER ip http server ip http authentication aaa 直接HTTP访问ROUTER,要完全deny ip http access-class 15 access-list 15 denyany |
list ..可以针对具体网段的用户进行认证
permit的需要认证
deny的不需要认证,反而可以直接穿过去
ip auth-proxy name ... {ftp | http| telnet} [list...]
ip auth-proxy auth-cache-timemin
ip auth-proxy auth-proxy-banner
ip auth-proxy {inactivity-timer ... | absolute-timer...}
show ip auth-proxy