Ghi chú đến thành viên
Go Back   4vn.eu > Kiến thức > Tin há»c > Mạng - Network
Gởi Ãá» Tài Má»›i Trả lá»i
 
Ãiá»u Chỉnh
  #1  
Old 02-11-2011, 08:48 AM
The Creator's Avatar
The Creator The Creator is offline
57991135
Cạch !
 
Tham gia: Feb 2008
Äến từ: VN
Bài gởi: 1,152
Thá»i gian online: 3 tuần 0 ngày 14 giá»
Xu: 0
Thanks: 359
Thanked 1,686 Times in 186 Posts
Cấu hình hệ thống Cisco ASA với thiết bị Android, VPN và Active Directory Authenticat

Trong bài viết dÆ°á»›i đây, chúng tôi sẽ trình bày má»™t số thao tác cÆ¡ bản để cấu hình, thiết lập hệ thống Cisco ASA vá»›i những thiết bị dá»±a trên ná»n tảng hệ Ä‘iá»u hành Android, VPN và Active Directory Authentication. Ví dụ, bạn muốn kết nối chiếc Ä‘iện thoại HTC Incredible vá»›i hệ thống mạng của công ty, văn phòng để sá»­ dụng và khai thác những tiện ích của smartphone thì sẽ phải làm thế nào? Rất nhiá»u đã Ä‘Æ°a ra ý tưởng và phÆ°Æ¡ng pháp nhÆ°ng Ä‘á»u không thành công. NhÆ°ng khi tác giả của bài viết tiếp tục kiên trì, tìm kiếm và thá»­ nghiệm các phÆ°Æ¡ng án khác nhau thì cuối cùng há» cÅ©ng đã đạt được mục đích. Cụ thể, 2 chiếc smartphone HTC incredible 2.2 và Samsung Infuse đã kết nối thành công vá»›i hệ thống mạng qua mô hình VPN, mặc dù vẫn còn má»™t số khuyết Ä‘iểm. TrÆ°á»›c khi bắt tay vào tiến hành và việc thiết lập, chúng ta cần biết rằng phiên bản ASA của hệ thống sá»­ dụng hệ Ä‘iá»u hành iOS phải là 8.4.1 và Android là 2.1 dá»±a trên yêu cầu của Cisco. NhÆ°ng trên thá»±c tế, có má»™t số mẫu ASA chỉ có bá»™ nhá»› lÆ°u trữ 512 MB, do vậy khá khó khăn và phức tạp trong việc nâng cấp hệ Ä‘iá»u hành iOS.
Bên cạnh đó, nếu các bạn Ä‘ang sá»­ dụng dịch vụ port forward trên địa chỉ IP chính bên ngoài, thì sẽ khiến hệ thống ngừng hoạt Ä‘á»™ng, nguyên nhân vì không há»— trợ NAT trong môi trÆ°á»ng VPN. Nếu trong trÆ°á»ng hợp này thì chúng ta sẽ có 2 phÆ°Æ¡ng án:
- Xóa bỠdòng lệnh:
nat (outside,outside) source dynamic [name your VPN LAN] interface
sẽ khiến cho các thành phần VPN client không thể truy cập được Internet qua VPN.
- Cách khác là di chuyển thành phần port forward tới 1 địa chỉ IP khác.
Cụ thể, trong bài thá»­ nghiệm này chúng tôi sẽ áp dụng trên hệ thống ASA 5505. Mặt khác, nếu chúng ta muốn thá»±c hiện quá trình tích hợp Active directory – nên áp dụng cách thức này, thì sẽ phải cần đến má»™t số dạng server Radius, ví dụ tại đây là NPS được bao gồm trong hệ Ä‘iá»u hành Windows Server 2008. Việc thiết lập và khởi tạo hệ thống server NPS là 1 quá trình hoàn toàn khác, nhÆ°ng lại khá Ä‘Æ¡n giản và dá»… dàng.
Trong các lệnh cấu hình bên dưới đây, chúng tôi sẽ sử dụng hầu hết là cú pháp mặc định của ASA, các bạn chỉ cần thay thế thông tin bên trong dấu [ ] với dữ liệu riêng, dấu * ở phía cuối dòng để chú thích và không nên thêm bất cứ tham số nào khác vào sau ký hiệu *!
ASA Version 8.4(1) * Hãy đảm bảo rằng bạn đã sử dụng đúng phiên bản?
!
hostname [tên asa hostname] * Ví dụ: MainASA
names
!
interface Vlan1
nameif inside
security-level 100
ip address [địa chỉ IP của hệ thống asa local] 255.255.255.0
!
interface Vlan2
nameif outside
security-level 0
ip address [địa chỉ IP OUTSIDE ] [subnetmask bên ngoài]
!
interface Ethernet0/0
switchport access vlan 2
!
boot system disk0:/asa841-k8.bin * Hãy chắc chắn rằng bạn đang boot bằng phiên bản 8.4.1!
same-security-traffic permit intra-interface
object network obj_any
subnet 0.0.0.0 0.0.0.0
object network [tên hệ thống lan1] * Ví dụ: MainLAN
subnet [subnet và mask của lan1] * Ví dụ: 192.168.1.0 255.255.255.0
object network [tên hệ thống lan2] * Äây là mục tùy chnj nếu bạn có nhiá»u hÆ¡n 1 kết nối cần giao tiếp
subnet [subnet mask của lan2]
object network [tên hệ thống lan3]
subnet [subnet và mask của lan3]
object network [tên của VPN LAN] * Ví dụ: VPN_NET
subnet [subnet và mask của VPN LAN] * Ví dụ: 172.16.30.0 255.255.255.0
object-group network [tên group của các hệ thống lan] * Ví dụ: LANS
network-object object [tên lan1]
network-object object [tên lan2]
network-object object [tên lan3]
ip local pool [tên địa chỉ pool của VPN IP] [IP Pool Range] mask [pool mask] * Ví dụ: GroupPool 172.16.30.5-172.16.30.200 255.255.255.0
nat (inside,outside) source static [tên nhóm lan] [tên nhóm lan] destination static [tên VPN LAN] [name your VPN LAN] * Ví dụ: LANS LANS VPN_NET VPN_NET - NEW WAY OF DOING NONAT
nat (outside,outside) source dynamic [tên VPN LAN] interface
!
object network obj_any
nat (inside,outside) dynamic interface
route outside 0.0.0.0 0.0.0.0 [địa chỉ gateway] 1 * Ví dụ: 199.10.199.10
route inside [địa chỉ subnet và mask của lan1] [địa chỉ gateway lan1] 1 * Ví dụ: 10.0.0.0 255.0.0.0 10.61.0.1
route inside [địa chỉ subnet và mask của lan2] [địa chỉ gateway lan2] 1
route inside [địa chỉ subnet và mask của lan3] [địa chỉ gateway lan3] 1
dynamic-access-policy-record DfltAccessPolicy
aaa-server TACACS+ protocol tacacs+
aaa-server RADIUS protocol radius
aaa-server [tên server RADIUS] protocol radius * Ví dụ: MainRAD
aaa-server [tên server RADIUS](inside) host [địa chỉ IP server RADIUS] * Ví dụ: 10.1.2.1
key [radius key] * Ví dụ: secretsquirrel
crypto ipsec ikev1 transform-set TRANS_ESP esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-MD5 esp-aes-256 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-DES-SHA esp-des esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-DES-MD5 esp-des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-MD5 esp-aes-192 esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec ikev1 transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-SHA esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-192-SHA esp-aes-192 esp-sha-hmac
crypto ipsec ikev1 transform-set ESP-AES-128-MD5 esp-aes esp-md5-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA esp-3des esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_3DES_SHA mode transport
crypto ipsec ikev1 transform-set TRANS_ESP_ esp-aes esp-sha-hmac
crypto ipsec ikev1 transform-set TRANS_ESP_ mode transport
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set ikev1 transform-set ESP-AES-256-MD5 ESP-3DES-SHA ESP-3DES-MD5 ESP-DES-SHA ESP-DES-MD5 TRANS_ESP_3DES_SHA TRANS_ESP_
crypto dynamic-map SYSTEM_DEFAULT_CRYPTO_MAP 65535 set reverse-route
crypto map outside_map 65535 ipsec-isakmp dynamic SYSTEM_DEFAULT_CRYPTO_MAP
crypto map outside_map interface outside
crypto isakmp nat-traversal 21
crypto ikev1 enable outside
crypto ikev1 policy 10
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 86400
group-policy DefaultRAGroup internal
group-policy DefaultRAGroup attributes
dns-server value [địa chi ip của your server DNS] * Ví dụ: 10.1.2.5
vpn-tunnel-protocol l2tp-ipsec
tunnel-group DefaultRAGroup general-attributes
address-pool [tên địa chỉ pool của VPN IP] * Ví dụ: GroupPool
authentication-server-group [tên server RADIUS] * Ví dụ: MainRAD
default-group-policy DefaultRAGroup
tunnel-group DefaultRAGroup ipsec-attributes
ikev1 pre-shared-key [client pre-shared key] * Ví dụ: vpnpassword
!

Còn trên các thiết bị Android, chúng ta mở phần Settings > Wireless and networks > VPN settings > Add VPN, chá»n L2TP/IPSec PSK VPN. Tên VPN phụ thuá»™c vào ngÆ°á»i sá»­ dụng, có thể đặt là bất cứ thông tin gì, thiết lập VPN server bên ngoài địa chỉ IP, cấu hình IPSec PSK (client pre-shared key) đã được khởi tạo trong ASA, không kích hoạt chức năng Secret và không cần thiết phải thiết lập tính năng tìm kiếm domain qua DNS. Chúc các bạn thành công!



Các chủ đỠkhác cùng chuyên mục này:

Tài sản của The Creator

Chữ ký của The Creator
Click vào quảng cáo là góp phần không nhỠgiúp cho 4vn duy trì và phát triển
Trả Lá»i Vá»›i Trích Dẫn
Trả lá»i

Từ khóa được google tìm thấy
áàëòèéñêèé, cach add vpn cissco, cach add vpn cua adroi, cach cai dat vpn cho htc, cach cai vpn cho androi, cach cai vpn cho dt htc, cach su dung vpn android, cai dat cisco asa 5505, cai dat vpn cho htc, cai sisco vpn android, cai vpn cho androi 2, cai vpn sever cho htc, cai vpn vao samsung, cau hinh asa, cau hinh asa 8.4(2), cau hinh thiet bi cisco, cau hinh vpn android, cau hinh vpn cho android, cau hinh vpn cho htc, cau hinh vpn cho samsung, cau hinh vpn samsung pcf, cau hinh vpn server htc, cau hinh vpn tren htc, cau hinh vpn us android, cau lenh object network, cài đặt vpn cho htc, cài vpn cho android, cách xoá vpn trên htc, cấu hình asa 5505, cấu hình asa cisco, cấu hình cisco asa, chinh vpn android, cisco android, gia lap cisco asa 5505, kich hoat vpn tren htc, nat ip thong qua asa, ñêàéëèíê, route asa, thay doi vpn android, thay doi vpn cho android, thiet lap vpn android, truy cap vpn tu android, vpn android la gi, vpn của htc là gì, vpn cisco android, vpn cisco tren android, vpn client tren android, web vpn tren cisco asa, xóa cấu hình asa

Ãiá»u Chỉnh


©2008 - 2014. Bản quyá»n thuá»™c vá» hệ thống vui chÆ¡i giải trí 4vn.euâ„¢
Diễn đàn phát triển dựa trên sự đóng góp của tất cả các thành viên
Tất cả các bài viết tại 4vn.eu thuá»™c quyá»n sở hữu của ngÆ°á»i đăng bài
Vui lòng ghi rõ nguồn gốc khi các bạn sử dụng thông tin tại 4vn.eu™