Jump to content

mike1017

Members
 Profil anzeigen  Aktivitäten des Benutzers anzeigen

  • Gesamte Inhalte

    5

  • Registriert seit

  • Letzter Besuch

 Inhaltstyp 

Beiträge erstellt von mike1017

  1. PIX 501 Access Rules

    in Cisco Forum — Allgemein

    Geschrieben

    Hallo Team,

     

    noch eine Anmerkung.

    Mann/Frau kann das Nat`en auch ausschalten in dem

    ein NAT 0 statement eingefügt wird, dass der PIX sagt

    es muss/soll kein NAT gemacht werden.

     

    Dies macht nätürlich nur dann Sinn wenn das outside

    Interface für einen Bereich im local LAN konfiguriert werden

    soll/muss.

     

    Der Mike

  3. PIX 501 Access Rules

    in Cisco Forum — Allgemein

    Geschrieben

    Hallo Basti,

     

    die Pix arbeitet default mäßig nach folgendem Schema :

     

    - Es gibt security Levels pro Interface :

     

    Outside interface ist die Verbindung zum SP oder Internet und

    hat immer Security Level 0 (d.h. absolut unsecure aus Sicht der

    PIX)

     

    Inside interface ist das interface ins lokale Netzwerk und hat

    immer Security Level 100 (d.h. absolut secure aus Sicht der Pix)

     

    Daraus leitet die Pix folgendes regelwerk ab, ohne dass dieses

    konfiguriert werden muss :

     

    Traffic von inside nach outside immer erlaubt, Traffic von outside

    nach inside default mäßig verboten.

     

    Wenn eine Verbindung von inside nach outside aufgebaut wird

    und es nur eine IP Adresse auf dem outside Interface gibt,

    arbeitet die PIX im PAT Modus d.h. Pix ersetzt alle source

    Adressen des inside Netzes durch die IP Adresse des outside

    interfaces. Daraus läßt sich erklären dass nur Traffic vom

    outside interface zum inside interface flißen können die zu einer

    Verbindung gehören die vom inside Interface initiiert

    wurden (uups... etwas schwierig zu verstehen......)

     

    Weitere wichtiger Punkt : Access control listen werden pro

    interface zugewiesen und beziehen sich immer auf den incoming

    Traffic aus Sicht des Interfaces !!!!!!!!!!

     

    Möchtest Du nun eine Verbindung vom outside interface zum

    inside Interface erlauben, muss als erstes folgendes gemacht

    werden :

     

    Ein statisches mapping zwischen einer outside IP Adresse und

    einer inside IP Adresse d.h. outside Netwerk 172.168.0.0

    inside Netzwerk 10.0.0.0

    Mapping muss wie folgt realisiert werden :

    Outside IP Adresse 172.168.0.1 zu inside IP Adresse 10.0.0.1

    d.h die Verbingung wird nicht von outside zur IP Adresse

    10.0.0.1 aufgebaut sondern zur IP Adresse 172.168.0.1 und die

    PIX weiß jetzt dass die IP Adresse 10.0.0.1 gemeint ist.

     

    Jetzt kommt die Access contol Liste.

    In der ACL definierts Du alle permit statements auf die IP

    Adresse 172.168.0.1 und bindest diese ACL auf das outside

    Interface

     

    Dies zum Verständniss.

     

    Du kannst den PDM (Pix device Manager verwenden der Dir bei

    der konfiguration hilft. Die PIX (PDM) kannst Du aber nur über

    das inside interface / die IP Adresse des inside interfaces

    erreichen.

     

    Anbei noch ein link zu Beispiel Konfigurationen der PIX bei Cisco

     

    http://www.cisco.com/en/US/products/sw/secursw/ps2120/products_configuration_guide_chapter09186a008008cd36.html

     

    Viel Spaß beim konfigurieren

     

    Der Mike

  4. Aironet 1100 Access Point

    in Cisco Forum — Allgemein

    Geschrieben

    Hallo This,

     

    her we go.

     

    Lade die config auf den AP.

    Du kannst dann über den Web browser Dir die config

    genauer anschauen

     

    Have fun

     

    cheers

     

    Mike

     

     

    aaa new−model

    !−−− This command reinitializes the authentication,

    !−−− authorization and accounting functions

    !

    !

    aaa group server radius rad_eap

    server 192.168.2.108 auth−port 1812 acct−port 1813

    !−−− a server group for RADIUS is created called "rad_eap"

    !−−− using the server at 192.168.2.108 on ports 1812 and 1813

    !

    aaa authentication login eap_methods group rad_eap

    !

    !−−− authentication [user validation] is to be done for

    !−−− users in a group called "eap_methods" who will use server group "rad_eap"

    !

    bridge irb

    !

    interface Dot11Radio0

    no ip address

    no ip route−cache

    !

    encryption key 1 size 128bit 12345678901234567890123456 transmit−key

    !−−− The value here seeds the initial key for use with

    !−−− broadcast [255.255.255.255] traffic. If more than one VLAN is

    Cisco − LEAP Authentication with Local RADIUS Server

    !−−− used, then keys must be set for each VLAN.

    encryption mode wep mandatory

    !−−− This defines the policy for the use of WEP. If more than one

    !−−− VLAN is used, the policy must be set to mandatory for each VLAN.

    !

    ssid labap1200

    authentication network−eap eap_methods

    !−−− Expect that users attaching to SSID "labap1200" will be

    !−−− requesting authentication with the type 128 Network EAP authentication

    !−−− bit set in the headers of those requests, and group those users into

    !−−− a group called "eap_methods."

    !

    speed basic−1.0 basic−2.0 basic−5.5 basic−11.0

    rts threshold 2312

    channel 2437

    station−role root

    bridge−group 1

    bridge−group 1 subscriber−loop−control

    bridge−group 1 block−unknown−source

    no bridge−group 1 source−learning

    no bridge−group 1 unicast−flooding

    bridge−group 1 spanning−disabled

    !

    !

    !

    interface FastEthernet0

    no ip address

    no ip route−cache

    duplex auto

    speed auto

    bridge−group 1

    no bridge−group 1 source−learning

    bridge−group 1 spanning−disabled

    !

    interface BVI1

    ip address 192.168.2.108 255.255.255.0

    !−−− Address of this unit

    no ip route−cache

    !

    ip default−gateway 192.168.2.1

    ip http server

    ip http help−path

     

    http://www.cisco.com/warp/public/779/smbiz/prodconfig/help/eag/ivory/1100

    ip radius source−interface BVI1

    snmp−server community cable RO

    snmp−server enable traps tty

    radius−server local

    !

    !−−− Engages Local RADIUS Server feature

    nas 192.168.2.108 key shared_secret

    !−−− Identifies itself as a RADIUS server, reiterating

    !−−− "localness" and defining key between server (itself) and AP

    !

    group testgroup

    !−−− Groups are optional

    !

    user user1 nthash password1 group testgroup

    !

    Cisco − LEAP Authentication with Local RADIUS Server

    !−−− Individual user

    !

    user user2 nthash password2 group testgroup

    !−−− Individual user

    !

    radius−server host 192.168.2.108 auth−port 1812 acct−port 1813 key shared_secret

    !−−− Defines where RADIUS server is and key between AP (itself) and server

    !

    radius−server retransmit 3

    radius−server attribute 32 include−in−access−req format %h

    radius−server authorization permit missing Service−Type

    radius−server vsa send accounting

    bridge 1 route ip

    !

    !

    line con 0

    line vty 5 15

    !

    end

×
×
  • Neu erstellen...