Отстраняване на грешки повикване потоци SSG Интернет портал конфигуриран с DHCP сигурна ARP, SSG порт сноп домакин

Избор на услуга шлюз (SSG)

Избор на услуга портал е преминаването решения за доставчиците на услуги, които предлагат интранет, екстранет и интернет връзки до абонати с широколентови технологии за достъп, като например цифрова абонатна линия (DSL), кабелни модеми или радио, за да се позволи достъп едновременни мрежови услуги.

SSG работи заедно с Cisco Абонат Edge Мениджър Услуги (SESM). Заедно с SESM, SSG осигурява удостоверяване на абонатите, избор на услуги и услуги за свързване на абонатите на интернет услуги. Абонатите взаимодействат с уеб - прилагането SESM използва стандартен интернет браузър.

SESM работи в два режима:

Режим на RADIUS - Този режим получава информация за абоната и сервиз от сървър RADIUS. SESM в режим на RADIUS е подобен на SSD.

LDAP режим - режим LDAP протокол осигурява достъп до съвместима с LDAP директория за информация относно профила на услуги и абоната. Този режим също така разполага подобрена функционалност за уеб - SESM приложения и използва модел, основан на ролята на контрол на достъпа (RBAC) за абоната, контрол на достъпа.

Key пакет домакин порт SSG

Пренасочване на TCP SSG за не премина удостоверяване на потребителя за проверка

Следвайте тези стъпки:

След TCP SSG IOS и пренасочва HTTP SESM, екранът изглежда по следния начин:

След пренасочване на TCP SSG да SESM и последващо HTTP пренасочи да бъдат прехвърлени обратно към браузъра SESM Ibook Left MAC, Ibook Left MAC въвежда user1 като потребителското име и паролата, Cisco:

След като бутона OK се изтласква, рутер SESM SSG изпраща тези пълномощията чрез патентована според протокола RADIUS.

На свой ред, рутера създава SSG RADIUS Access-Искане пакет и го изпраща към удостоверяване на RADIUS да user1:

RADIUS Access-Приемете е отговорен за user1. и SSG домакин обект се създава в "F340.07.23-2800-8":

На този етап user1 се определя като обект SSG домакин, но все още не е разрешен достъп до всички SSG услуги. Ibook Left MAC осигурява екран за избор на услуги и притиска за дистанционно обучение за:

След натискане на кутия за дистанционно обучение SESM SSG комуникира с рутера за контролния канал:

При използване на SSG и DHCP с тези сценарии може да позволи на злонамерени потребители да използват повторно удостоверяване обект SSG домакин, които не осигуряват преминал проверка за автентичността на достъп до защитени ресурси:

Когато SSG и DHCP конфигуриран заедно "SSG пресичане DHCP" и "актуализация ARP" предотвратяване повторното сесия. Когато Host DHCP изпълнява nepostepenny излезете свързаните окончателно предизвикателство на несигурност е да се освободи DHCP лизинг и влизането ARP. Configuration "упълномощи ARP" на "посока SSG преминава надолу по веригата" интерфейс резултати в периодични заявки ARP изпратени до всички домакини, за да се уверите, те все още са активни. Ако не се получи отговор от тези периодични съобщения ARP, DHCP свързване на разположение, както и подсистема DHCP IOS заличи регистрацията ARP.

В този пример искането на ARP се предава периодично да се актуализират всички известни записи на ARP Fa0 / 0 на всеки 5 секунди. След 15 неуспехи освобождават задължителен DHCP и подсистема DHCP IOS заличи регистрацията ARP.

"Упълномощен на ARP" извън динамична, студент на ARP в интерфейса на която тя е създадена. Единствените ARP вписванията върху разглеждания интерфейс - ще бъдат стартирани Добавено DHCP сървър IOS след лизинговия договор. След това тези записи се изчистват ARP DHCP сървър, на IOS, веднага след като договорът за наем е изтекъл, или за получаване на DHCP ОСВОБОЖДАВАНЕ, изтичане на договора за наем, или поради ARP сонда неуспех поради nepostepennogo излизане системата за DHCP.

Таблица 1 - отваря сесия повторното използване и разглеждане на безопасността внедрявания SSG / DHCP