9-思科防火墙：Cut Through：Telnet穿越认证

一、实验拓扑：

二、实验要求：
ASA联动外部产品ACS做一个认证，通过这种方式控制内部用户的流量；其实还可以做授权、审计。
有时候单单抓流量控制是不方便的，因为可能该网络有很多用户连接，比如总经理、副总经理、普通员工；所以这时候要用用户、密码来控制。允许登录，不同用户的不同授权之类的。
一般认证可以对4大流量开启认证：Http、Https、FTP、Telnet。
1、希望R2在远程登录R1时候还要通过一个验证，输入用户名密码，验证成功才可以登录R1；
2、为Inside网络访问Outside网络配置穿越认证；
3、认证服务器使用ACS；
4、调整认证超时时间，绝对超时时间1小时，闲置超时时间10分钟;
5、效果：R2 Telnet R1时候，会要求输入ACS认证的用户名、密码，正确之后在输入R1真实的用户名、密码。
三、命令部署：
1、ASA上部署aaa-server配置：
ASA(config)# aaa-server zhou protocol tacacs+
ASA(config-aaa-server-group)# aaa-server zhou (DMZ) host 10.1.2.254
ASA(config-aaa-server-host)# key zhou

2、ASA测试：
ASA(config)# test aaa-server authentication zhou username bb password bbbb
Server IP Address or name: 10.1.2.254(timeout: 12 seconds)
INFO: Authentication Successful
注意：前半部分和3-认证管理访问：ACS联动是一样的

3、R2去往R1的Telnet流量首先用ACL抓起来：
ASA(config)# access-list tel extended permit tcp host 10.1.1.2 host 202.100.1.1 eq telnet

4、将ACL抓取的流量送到ACS验证：
ASA(config)# aaa authentication match tel inside zhou //ACS的名字是zhou
四、验证：
R2远程登录R1：
R2#telnet 202.100.1.1
Trying 202.100.1.1 ... Open
Username: bb
Password:

User Access Verification
Username: aa
Password:
R1>

转载于:https://blog.51cto.com/13856092/2138595