Tải bản đầy đủ
XÂY DỰNG MÔ PHỎNG THỬ NGHIỆM TRÊN GNS3

XÂY DỰNG MÔ PHỎNG THỬ NGHIỆM TRÊN GNS3

Tải bản đầy đủ

Hình 3.1. Mô hình mô phỏng.
Với các thông số địa chỉ như sau:
* Bảng địa chỉ IP
Thiết bị

Primary Pix

Second Pix

Router

Ethernet

Địa chỉ IP/SM

E0

192.168.64.1/24

E1

10.0.64.1/24

E2

172.16.64.1/24

E0

192.168.64.3/24

E1

10.0.64.3/24

E2

172.16.64.3 /24

Fa1/0

192.168.64.2/24

AAA Server

10.0.64.2/24

Thông qua quá trình mô phỏng chúng ta sẽ thấy được các bước chứng thực
một người dùng khi muốn truy xuất thông qua Pix Firewall bằng giao thức chứng
thực Tacacs + và cách làm việc của Pix Firewall khi có Failover sảy ra.
3.2. Công cụ mô phỏng
- Phần mềm giả lập máy ảo VMWare
- Cisco ACS 4.2 giả lập AAA server cài trên windows server 2003
61

- Hệ điều hành windows server 2003 enterprise edition được cài trên máy ảo.
- Wireshark
- GNS3 0.8.2
- IOS Pix 803, Router 7200
- Máy Client (Asus K53S chạy windows 7) cài GNS3, Wireshark
3.3. Các bước mô phỏng
3.3.1. Cài đặt GNS3, IOS PIX 803 và IOS Router 7200
- Downlaod chương trình cài đặt GNS3. Ở đây em sử dụng phiên bản GNS3
0.8.2 beta. Tiến hành cài đặt theo các bước mặc định.
- Cài ISO cho Router 7200.
Trong GNS3 chọn Edit ->IOS images and hypervisors. Tại mục image file
chọn đường dẫn đến IOS của Router 7200 rồi ấn Save và Close

Hình 3.2: Cài đặt IOS Router 7200
- Download IOS Pix 803. Giả lập pix firewall như sau:
Trong GNS3 chọn menu Edit -> Preferences.. -> Qemu.
Tại mục Binary image chọn đường dẫn đến IOS của Pix.Sau đo điền key và
serial của IOS đó vào 2 mục tiếp theo như trong hình vẽ.

62

Hình 3.3: Cài đặt Pix firewall trong GNS3.
Tạo một Pix trong GNS3 và start nó lên, vào chế độ config nhập dòng lệnh.
Pixfirewall# Activation-key failover>
Ở đây sử dụng dãy key là: 0x497acdef,0x39ef68ac,0x36d54110,0x2f9868d7.
3.3.2 Cấu hình cho pix firewall và router
* Cấu hình trên pix primary (Pix1)
Primary(config)# int e0
Primary(config-if)# ip add 192.168.64.1 255.255.255.0 standby 192.168.64.3
Primary(config-if)# no shut
Primary(config-if)# nameif ouside
Primary(config-if)# exit
Primary(config)# int e1
Primary(config-if)# ip add 10.0.64.1 255.255.255.0 standby 10.0.64.3
Primary(config-if)# no shut
Primary(config-if)# nameif inside
Primary(config-if)# exit
63

Primary(config)# int e2
Primary(config-if)# no shut
Primary(config-if)# failover lan enable
Primary(config)# failover lan unit primary
Primary(config)# failover lan interface cuong e2
Primary(config)# failover interface ip cuong 172.16.64.1 255.255.255.0 standby
172.16.64.3
Primary(config)# failover
Primary(config)# show failover
Sau khi thực hiện các lệnh trên ta thu được kết quả như hình vẽ dưới đây:

Hình 3.4: Failover đã được thiết lập trên pix primary
Cấu hình cùng địa chỉ Nat
Primary(config)# nat (inside) 1 0 0 0
Primary(config)# global (outside) 1 192.168.64.20
Cấu hình định tuyến cho mạng inside ra mạng outside
Primary(config)# route outside 0.0.0.0 0.0.0.0 192.168.64.1
* Cấu hình trên Pix second (pix 2)
64

Second(config)# int e2
Second(config-if)# no shut
Second(config-if)# failover lan enable
Second(config)# failover lan unit secondary
Second(config)# failover lan interface cuong e2
Second(config)# failover interface ip cuong 172.16.64.1 255.255.255.0 standby
172.16.64.3
Second(config)# failover
Sau khi thực hiện các lệnh trên pix second sẽ kết nối đến primary và sau đó
tự động telnet đến primary.

Hình 3.5: Failover đã được thiết lập trên Pix second
Cấu hình Stateful link:
Primary(config)# Failover link cuong
Primary(config)# Failover polltime msec 500
Nếu vì một lý do nào đó Pix Primary bị down thì pix Second sẽ tự động
được active để thay thế Pix Primary

65

Hình 3.6: Pix Second tự động active khi Pix Primary bị down

* Cấu hình cho Router 7200
Router(config)# hostname Webserver
Webserver(config)# enable password cuong
Webserver(config)# interface fa1/0
Webserver(config-if)# ip add 192.168.64.2 255.255.255.255.0
Webserver(config-if)# no shutdown
Webserver(config-if)# exit
Webserver(config)# ip route 0.0.0.0 0.0.0.0 192.168.64.1
Cấu hình cho router giả lập webserver
Webserver(config)# ip http server
Thực hiện ping để kiểm tra kết nối

66

Hình 3.7: Kiểm tra kết nối từ Pix đến các thiết bị khác
Cấu hình để các mạng inside có thể ping đến các mạng outside
Primary(config)# static (inside,outside) 192.168.64.4 10.0.64.1 netmask
255.255.255.255
Primary(config)# access-list Server permit icmp any any
Primary(config)# nat (inside) 1 10.0.64.0 255.255.255.0
Primary(config)# global (outside) 1 192.168.64.5-192.168.64.254 netmask
255.255.255.0
Primary(config)# static (inside,outside) 192.168.64.4 10.0.64.1 netmask
255.255.255.255
Primary(config)# access-group Server in interface outside
Primary(config)# route outside 0.0.0.0 0.0.0.0 192.168.64.
Trên AAA server mở command-prompt và thực hiện ping ra router ở mạng
ngoài, ta thấy ping thành công

67

Hình 3.8: Kết quả ping từ mạng bên trong ra mạng bên ngoài
Cấu hình cho phép host ở mạng inside được phép telnet vào pix:
Primary(config)# telnet 10.0.64.2 255.255.255.255 inside
Bật tính năng AAA server trên pix:
Primary(config)# aaa-server ccsp protocol tacacs+
Primary(config)# aaa-server ccsp (inside) host 10.0.64.2 pixfirewall
Hai câu lệnh trên sử dụng địa chỉ 10.0.64.2 chính là địa chỉ của AAA server,
với share key là pixfirewall. Tạo một group tag là ccsp và đăng ký giao thức
tacacs+ đến nó.
Cấu hình xác thực user truy cập vào pix:
Primary(config)# aaa authentication telnet console ccsp
Primary(config)# aaa authentication http console ccsp
Primary(config)# aaa authentication enable console ccsp
Bật logging trên pix để quan sát quá trình xác thực:
Primary(config)# logging console debug

68

3.3.3.Cấu hình thông tin xác thực trên AAA server sử dụng phần mềm Cisco
secure ACS
Cài đặt Cisco secure ACS trên máy Windows server 2003 (lưu ý, phải cài
java trước). Sau khi cài đặt xong, vào phần User Setup để thêm người dùng có tên
aaauser

Hình 3.9: Thêm user
Điền tên và diễn tả cho user ở trường Real Name và Description. Trong tuỳ
chọn User Setup, Password Authentication chọn ACS Internal Database
Điền password và lặp lại password cho Cisco Secure PAP/CHAP/MSCHAP/ARAP và Separate (CHAP/MS-CHAP/ARAP). Ở đồ án này, password
được đặt là manhcuong

Hình 3.10: User Setup
Cấu hình Group setup
Chọn 0: Default Group trong phần Group và nhấn Edit Settings
Trong trang kế, trong mục jump to ta chọn là Tacacs+
Kéo xuống dưới, trong tuỳ chọn TACACS+ Settings, tích chọn Shell (exec)

69

Hình 3.11: Cấu hình TACACS+ Settings trong User setup
Xong chọn Submit để lưu cấu hình cho user.
Tiếp theo ta cần thêm nhóm thiết bị và AAA client bằng cách vào Network
Configuration, chọn Add Entry ở Network Device Groups. Điền tên Network
Device Group là Pix và Shared Secret là pixfirewall.

Hình 3.12: Thêm mới Network Device Group
Sau khi đã có Device Group là Pix, ta tiến hành khai báo Pix firewall là
AAA client bằng cách vào Pix group và Add AAA Client. Điền AAA Client IP là
10.0.64.1 (cổng inside của Pix), secret là pixfirewall như đã khai báo trong cấu
hình PIX ở phần trước. Lựa chọn Authentication using là TACACS+ (Cisco IOS).
Sau đó Submit

Hình 3.13: Thêm AAA Client là PIX Firewall

70

Click chọn tên trong mục AAA Server name để chuyển đến bảng setting. Đặt
AAA Server IP Address là 10.0.64.2, mục key đặt là pixfirewall và chọn Tacacs+
trong AAA Server Type. Nhấn Submit + Apply để kết thúc.

Hình 3.14: Chỉnh AAA Server có địa chỉ là 10.0.64.2
Tiến hành kiểm tra xác thực khi user truy cập vào pix với username là
aaauser và password là manhcuong bằng cách từ AAA server telnet tới PIX.

Hình 3.15: Kiểm tra xác thực truy cập PIX với server chứng thực là AAA Server

71