مصادقة وكيل المصادقة الواردة - لا يوجد جدار حماية Cisco IOS أو تكوين NAT

خيارات التنزيل

PDF (339.7 KB)
عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
ePub (92.2 KB)
العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
Mobi (Kindle) (101.2 KB)
عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة

تم التحديث:١٥ أغسطس ٢٠٠٦

معرّف المستند:13885

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

المحتويات

المقدمة

المتطلبات الأساسية

المتطلبات

المكونات المستخدمة

الاصطلاحات

التكوين

الرسم التخطيطي للشبكة

التكوينات

التحقق من الصحة

استكشاف الأخطاء وإصلاحها

معلومات ذات صلة

المقدمة

يعمل هذا التكوين النموذجي في البداية على حظر حركة مرور البيانات من جهاز مضيف (على 11.11.11.12) على الشبكة الخارجية إلى جميع الأجهزة الموجودة على الشبكة الداخلية حتى تقوم بإجراء مصادقة المستعرض باستخدام وكيل المصادقة. تضيف قائمة الوصول التي تم تمريرها من الخادم (السماح ب tcp|ip|icmp any) تفويض بعد الإدخال الديناميكي إلى قائمة الوصول 115 التي تسمح مؤقتا بالوصول من الجهاز المضيف إلى الشبكة الداخلية.

المتطلبات الأساسية

المتطلبات

لا توجد متطلبات خاصة لهذا المستند.

المكونات المستخدمة

تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج والمكونات المادية التالية:

برنامج IOS® الإصدار 12.0.7.T من Cisco
موجّه Cisco 3640

ملاحظة: تم إدخال الأمر ip auth-proxy في البرنامج Cisco IOS Software، الإصدار 12.0.5.T. تم إختبار هذا التكوين باستخدام برنامج Cisco IOS، الإصدار 12.0.7.T.

تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.

الموجه 3640
Current configuration: ! version 12.0 service timestamps debug uptime service timestamps log uptime no service password-encryption ! hostname security-3640 ! !--- Turn on authentication. aaa new-model !--- Define the server group and servers for TACACS+ or RADIUS. aaa group server tacacs+\|radius RTP server 171.68.118.115 ! !--- Define what you need to authenticate. aaa authentication login default group RTP none aaa authorization exec default group RTP none aaa authorization auth-proxy default group RTP enable secret 5 $1$H9zZ$z9bu5HMy4NTtjsvIhltGT0 enable password ww ! ip subnet-zero ! !--- You want the router name to appear as banner. ip auth-proxy auth-proxy-banner !--- You want the access-list entries to timeout after 10 minutes. ip auth-proxy auth-cache-time 10 !--- You define the list-name to be associated with the interface. ip auth-proxy name list_a http ip audit notify log ip audit po max-events 100 cns event-service server ! process-max-time 200 ! interface FastEthernet0/0 ip address 40.31.1.150 255.255.255.0 no ip directed-broadcast no mop enabled ! interface FastEthernet1/0 ip address 11.11.11.11 255.255.255.0 !--- Apply the access-list to the interface. ip access-group 115 in no ip directed-broadcast !--- Apply the auth-proxy list-name. ip auth-proxy list_a ! ip classless ip route 171.68.118.0 255.255.255.0 40.31.1.1 !--- Turn on the http server and authentication. ip http server ip http authentication aaa ! !--- This is our access-list for auth-proxy testing - !--- it denies only one host, 11.11.11.12, access - to minimize disruption !--- to the network during testing. access-list 115 permit tcp host 11.11.11.12 host 11.11.11.11 eq www access-list 115 deny icmp host 11.11.11.12 any access-list 115 deny tcp host 11.11.11.12 any access-list 115 deny udp host 11.11.11.12 any access-list 115 permit udp any any access-list 115 permit tcp any any access-list 115 permit icmp any any dialer-list 1 protocol ip permit dialer-list 1 protocol ipx permit ! !--- Define the server(s). tacacs-server host 171.68.118.115 tacacs-server key cisco radius-server host 171.68.118.115 radius-server key cisco ! line con 0 transport input none line aux 0 line vty 0 4 password ww ! ! end

Current configuration:
!
version 12.0
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname security-3640
!

!--- Turn on authentication.

aaa new-model

!--- Define the server group and servers for TACACS+ or RADIUS.

aaa group server tacacs+|radius RTP
 server 171.68.118.115
!

!--- Define what you need to authenticate.

aaa authentication login default group RTP none
aaa authorization exec default group RTP none
aaa authorization auth-proxy default group RTP
enable secret 5 $1$H9zZ$z9bu5HMy4NTtjsvIhltGT0
enable password ww
!
ip subnet-zero
!

!--- You want the router name to appear as banner.

ip auth-proxy auth-proxy-banner

!--- You want the access-list entries to timeout after 10 minutes.

ip auth-proxy auth-cache-time 10

!--- You define the list-name to be associated with the interface.

ip auth-proxy name list_a http
ip audit notify log
ip audit po max-events 100
cns event-service server
!
process-max-time 200
!
interface FastEthernet0/0
 ip address 40.31.1.150 255.255.255.0
 no ip directed-broadcast
 no mop enabled
!
interface FastEthernet1/0
 ip address 11.11.11.11 255.255.255.0

!--- Apply the access-list to the interface.

ip access-group 115 in
 no ip directed-broadcast

!--- Apply the auth-proxy list-name.

 ip auth-proxy list_a
!
ip classless
ip route 171.68.118.0 255.255.255.0 40.31.1.1

!--- Turn on the http server and authentication.

ip http server
ip http authentication aaa
!

!--- This is our access-list for auth-proxy testing - !--- it denies only one host, 11.11.11.12, access - to minimize disruption !--- to the network during testing.

access-list 115 permit tcp host 11.11.11.12 host 11.11.11.11 eq www
access-list 115 deny   icmp host 11.11.11.12 any
access-list 115 deny   tcp host 11.11.11.12 any
access-list 115 deny   udp host 11.11.11.12 any
access-list 115 permit udp any any
access-list 115 permit tcp any any
access-list 115 permit icmp any any
dialer-list 1 protocol ip permit
dialer-list 1 protocol ipx permit
!

!--- Define the server(s).

tacacs-server host 171.68.118.115
tacacs-server key cisco
radius-server host 171.68.118.115
radius-server key cisco
!
line con 0
 transport input none
line aux 0
line vty 0 4
 password ww
!
!
end

التحقق من الصحة

لا يوجد حاليًا إجراء للتحقق من صحة هذا التكوين.

استكشاف الأخطاء وإصلاحها

يوفر هذا القسم معلومات يمكنك إستخدامها لاستكشاف أخطاء التكوين وإصلاحها.

بالنسبة لهذه الأوامر، ارجع إلى وكيل مصادقة أستكشاف الأخطاء وإصلاحها، إلى جانب معلومات أستكشاف الأخطاء وإصلاحها الأخرى.

ملاحظة: ارجع إلى معلومات مهمة حول أوامر التصحيح قبل إصدار أوامر debug.

معلومات ذات صلة

محفوظات المراجعة

المراجعة	تاريخ النشر	التعليقات
1.0	15-Aug-2006	الإصدار الأولي

مصادقة وكيل المصادقة الواردة - لا يوجد جدار حماية Cisco IOS أو تكوين NAT

خيارات التنزيل

لغة خالية من التحيز

حول هذه الترجمة

المحتويات

محفوظات المراجعة

هل كان هذا المستند مفيدًا؟

اتصل بنا

ينطبق هذا المستند على هذه المنتجات