Selectați serviciul Gateway (SSG)
Selectare serviciu gateway comutare soluții pentru furnizorii de servicii, care oferă intranet, extranet si conexiuni la Internet pentru abonații cu tehnologii de acces în bandă largă, cum ar fi linia digitală de abonat (DSL), modemuri de cablu sau radio pentru a permite servicii de rețea de acces simultan.
SSG funcționează în colaborare cu Managerul de servicii de abonați Cisco pentru abonați (SESM). Împreună cu SESM, SSG oferă autentificarea abonaților, selecția serviciilor și abilitatea de a conecta serviciile către abonații serviciilor de Internet. Abonații interacționează cu aplicația web SESM utilizând un browser de internet standard.
SESM funcționează în două moduri:
Mod RADIUS - Acest mod primește informațiile abonatului și serviciului de pe serverul RADIUS. Modul SESM în modul RADIUS este similar cu SSD.
Modul LDAP - Modul Protocol LDAP oferă acces la un director LDAP compatibil pentru informații despre profilul serviciului și despre abonat. Acest mod are, de asemenea, o funcționalitate avansată pentru aplicațiile web SESM și utilizează modelul de control al accesului bazat pe roluri (RBAC) pentru a gestiona accesul abonaților.
Cheia portului SSG gazdă al Bandle
TCP SSG redirecționați pentru utilizatorii neautorizați
Faceți următoarele:
După SESM TCP SSG IOS și HTTP redirecționare, ecranul este similar cu acesta:
După redirecționarea TCP SSG către SESM și apoi redirecționarea HTTP trimisă de SESM înapoi la browserul MAC iBook Left, iBook Left MAC intră în numele utilizatorului1 și Cisco ca parolă:
După expirarea butonului OK, SESM transmite aceste acreditări pe ruterul SSG printr-un protocol propriu bazat pe RADIUS.
La rândul său, routerul SSG creează un pachet de solicitare de acces RADIUS și îl transmite către RADIUS pentru autentificare1:
RADIUS răspunde cu Access-Accept pentru utilizator1. și obiectul gazdă SSG este creat în "F340.07.23-2800-8":
În acest moment, user1 este definit ca un obiect gazdă SSG, dar nu are încă acces la niciun serviciu SSG. iBook Left MAC oferă un ecran de selecție a serviciului și apasă la distanță:
După ce a fost activat modul de antrenament de la distanță, caseta SESM comunică cu ruterul SSG cu canalul de control:
Atunci când se utilizează SSG și DHCP împreună, aceste scripturi pot permite utilizatorilor rău intenționați să reutilizeze un obiect gazdă autentificat SSG care oferă acces neautorizat pentru a furniza resurse:
Atunci când SSG și DHCP sunt configurate împreună, "ssg intercept dhcp" și "update arp" împiedică reutilizarea sesiunii. Când gazda DHCP efectuează o ieșire inactivă din sistem, apelul de insecuritate final asociat are ca scop eliberarea DHCP Rent și a înregistrării ARP. Configurația rezultatelor interfeței "arp autorizat" și "direcționare ssg transmite în aval" în cererile periodice ARP transmise tuturor gazdei pentru a se asigura că acestea sunt încă active. Dacă nu se primește nici un răspuns din aceste mesaje periodice ARP, legătura DHCP este eliberată, iar subsistemul DHCP IOS șterge înregistrarea ARP.
În acest exemplu, cererea ARP este transmisă periodic pentru a actualiza toate înregistrările ARP cunoscute la Fa0 / 0 la fiecare 5 secunde. După 15 eșecuri, legătura DHCP este eliberată, iar subsistemul DHCP IOS șterge înregistrarea ARP.
"Arp autorizat" oprește ARP dinamic, învățând pe interfața pe care este configurată. Singurele Intrările ARP pe interfața considerat - serverul DHCP Adăugat IOS după contractul de închiriere va fi lansat. Aceste înregistrări sunt apoi eliminate ARP DHCP Server, IOS, de îndată ce contractul de închiriere a fost încheiat sau pentru obținerea DHCP RELEASE, expirarea contractului de închiriere, sau din cauza ARP Probe de ieșire eșec nepostepennogo datorită sistemului DHCP.
Tabelul 1 - Deschide sesiunea de reutilizare și factorii de securitate luați în considerare în implementările SSG / DHCP
Trimiteți-le prietenilor: