Шлюз вибору служби (SSG)
Шлюз вибору сервісу є комутаційним рішенням для постачальників послуг, які пропонують інтранет, екстранет і Інтернет-з'єднання абонентам з технологією широкосмугового доступу, таким як цифрові абонентські лінії (DSL), кабельні модеми або радіо для вирішення синхронного доступу мережевих сервісів.
SSG працює в поєднанні з Cisco Subscriber Edge Services Manager (SESM). Разом з SESM, SSG надає аутентифікацію абонентів, сервісний вибір і можливості з'єднання послуг абонентам інтернет-сервісів. Абоненти взаємодіють з web - додатком SESM за допомогою стандартного інтернет-браузера.
SESM працює в двох режимах:
Режим RADIUS - Цей режим отримує абонента і службову інформацію від сервера RADIUS. SESM в режимі RADIUS подібний SSD.
Режим LDAP - режим Протоколу LDAP надає доступ до сумісного LDAP каталогу для отримання інформації про профіль сервісу і абонента. Цей режим також має розширену функціональність для web - додатків SESM і використовує модель заснованого на ролі управління доступом (RBAC) для управління абонентським доступом.
Ключ хоста бандл порту SSG
Перенаправлення TCP SSG для не пройшли перевірку автентичності користувачів
Виконайте наступні дії:
Після TCP SSG IOS і перенаправлень HTTP SESM, екран схожий на це:
Після перенаправлення TCP SSG до SESM і подальшого перенаправлення HTTP, переданого SESM назад до браузеру iBook Left MAC, iBook Left MAC вводить user1 як ім'я користувача і Cisco як пароль:
Після того, як кнопка OK висунута, SESM передає маршрутизатора SSG ці облікові дані через що становить власність заснований на RADIUS протокол.
У свою чергу маршрутизатор SSG створює Пакет запиту доступу RADIUS і передає його до RADIUS для аутентифікації user1:
RADIUS відповідає Access-Accept для user1. і Об'єкт хоста SSG створений в "F340.07.23-2800-8":
На цьому етапі user1 визначено як Об'єкт хоста SSG, але ще не має доступу до жодної SSG Services. iBook Left MAC надають Сервісний Екран вибору і натискає Distance Learning:
Після того, як Дистанційне навчання натиснуто, коробка SESM зв'язується з маршрутизатором SSG з керуючим канал:
При використанні SSG і DHCP разом ці сценарії можуть дозволити зловмисним користувачам знову використовувати аутентіфіціруемий Об'єкт хоста SSG, які надають не пройшов перевірку автентичності доступ для забезпечення ресурсів:
Коли SSG і DHCP налаштовані разом, "ssg intercept dhcp" і "update arp" запобігають повторне використання сеансу. Коли Хост DHCP виконує непостепенний вихід з системи, пов'язаний виклик заключній небезпеки полягає в тому, щоб звільнити Оренду DHCP і Запис ARP. Конфігурація "санкціонованого arp" на "ssg direction передає в низхідному напрямку" інтерфейсні результати в періодичних запитах ARP, що передаються всім хостам, щоб упевнитися, що вони все ще активні. Якщо ніякої відповіді не отримано від цих періодичних повідомлень ARP, прив'язка DHCP звільнена, і підсистема DHCP IOS видаляє Запис ARP.
В даному прикладі запит ARP передається періодично для поновлення всіх відомих Записів ARP на Fa0 / 0 кожні 5 с. Після 15 збоїв звільнена прив'язка DHCP, і підсистема DHCP IOS видаляє Запис ARP.
"Санкціонований arp" вимикає динамічний ARP, учень на інтерфейсі, на якому це налаштоване. Єдині Записи ARP на даному інтерфейсі - додані сервером DHCP IOS після того, як буде запущений орендний договір. Ці Записи ARP тоді очищені Сервером DHCP IOS, як тільки орендний договір завершився, або через отримання ВИПУСКУ DHCP, закінчення орендного договору, або через збій Зонда ARP через непостепенного виходу з системи DHCP.
Таблиця 1 - відкриває сеанс повторне використання і враховуються фактори безпеки в розгортанні SSG / DHCP