- 當一個用戶發起HTTP訪問穿過ROUTER,the authentication proxy is triggered(在接口截獲用戶通過ROUTER的http包進行認證)
- auth proxy先檢查現存的entry有沒有此用戶的entry
- 沒有,就根據其http request包,發回一個http repond包,但顯示的是一個認證網頁(ip httpserver提供)
- 用戶在認證網頁輸入的username/passwd被proxy到aaa server
- 用戶屬於用戶名密碼正確,一個entry被建立,以後用戶再訪問就不必重複認證了
- 如果radius server返回認證失敗,則該連接被中斷
- 要求認證用戶不一定直連到起用ipauth-proxy的接口。可以是遠程用戶,只要他HTTP包通過ROUTER,就會被截獲並強行認證
aaa new-model ! radius-server host 192.168.126.14 radius-server key cisco ! aaa authorizationauth-proxy default groupradius |
ip auth-proxy name pxy
httplist 10 auth-cache-time3 access-list 10 permit any ! interface Serial2/0:23 ip address 16.0.0.2 255.0.0.0 encapsulationppp ip auth-proxy pxy |
interface Serial2/0:23 ip access-group 105 in ! access-list 105 deny tcp anyany access-list 105 deny udp anyany access-list 105 permit ip any any 接口先deny,否則認證沒什麼意義 爲避免這種”不認證反而直接穿過去”的問題,在接口設置過濾 |
起用HTTP訪問ROUTER ip http server ip http authentication aaa 直接HTTP訪問ROUTER,要完全deny ip http access-class 15 access-list 15 denyany |
ip auth-proxy name ...http [list ...] 可以限定具體用戶認證
list ..可以針對具體網段的用戶進行認證
permit的需要認證
deny的不需要認證,反而可以直接穿過去
ip auth-proxy新feature,支持telnet,ftp
ip auth-proxy name ... {ftp | http| telnet} [list...]
option
ip auth-proxy auth-cache-timemin 用戶的條目存活時間是, 缺省60min
ip auth-proxy auth-proxy-banner 設置auth-proxy的banner, 缺省是disable
ip auth-proxy {inactivity-timer ... | absolute-timer...}
verifty
show ip auth-proxy