一.概述:
ACS4.x初始http访问端口为2002,后续的端口默认会从1024~65535随机变化,从ASA的inside区域访问outside区域的ACS4.x没有问题,但是如果从ASA的outside区域访问inside区域的ACS4.x,就会带来问题,不可能把所有的TCP1024~65535端口都放开。
二.基本思路:
A.限定ACS4.x动态端口的变化范围
---值得注意的是ASC4.x的动态端口根据每个session来变化,如果设定变化访问只为一个值,比如:2003~2003,则会导致同时只能一个session连接ACS4.x进行管理。
B.配置为https访问(可选)
---刚开始以为配置https后就不会动态端口,实际测试发现https采用的初始端口也是2002,后面端口还是会随机变化。
三.配置方法:
A.限定ACS4.x动态端口的变化范围
---Administration Control->Access Policy->HTTP Port Allocation,设定变化的端口范围,假定设置范围为2003~2004。
B.配置为https访问(可选)
配置HTTPS的证书有多种方式,可以向CA申请,也可以创建自签名的证书,我测试的是自签名证书:
①生成自签名证书
---System Configuration ->ACS Certificate Setup ->Generate Self-Signed Certifcate
②根据提示进行重启ACS
③修改访问策略,设置为https访问
---Administration Control->Access Policy->Secure Socket Layer Setup勾选:Use HTTPS Transport for Administration Access
C.防火墙放行策略
---根据前面的动态端口范围设置,以及初始端口2002,那样只需放行TCP 2002~2004即可,这样可以允许同时有两个用户来管理ACS4.x。
①拓扑:
202.100.1.0/24 10.1.1.0/24
PC1(.8)-----Outside--------------(.1)ASA842(.1)------Inside-----------(.100)ACS4.x
②防火墙ASA842配置:
1.内网PAT出公网:
object network Inside_net
subnet 10.1.1.0 255.255.255.0
nat (inside,outside) dynamic interface
2.映射端口范围:
object network Inside_ACS_Host
host 10.1.1.100
object service ACS_Ports
service tcp destination range 2002 2004
nat (Outside,Inside) source static any any destination static interface Inside_ACS_Host service ACS_Ports ACS_Ports
3.配置策略:
policy-map global_policy
class inspection_default
inspect icmp
access-list Outside extended permit tcp host 202.100.1.8 object Inside_ACS_Host range 2002 2004
access-group Outside in interface Outside
本文转自 碧云天 51CTO博客,原文链接:http://blog.51cto.com/333234/1220918,如需转载请自行联系原作者
