关于3A认证的问题

wzhuoxing

如下图：
需求：WIN7（虚拟机） 通过http https网关内网的R1

ACS服务器测试也正常

qq360870025

楼主 你match的列表 因该Match  httpandhttps 而不是https

皇家禁卫队

好贴，绝对要支持下！！~~

远景@无限

支持纯技术帖。。

碧云天

参考如下链接，httpandhttps 的ACL中需要增加http和https的标准端口80和443

http://certificationchat.com/cci ... -through-proxy.html

---备注，我用ASA8.0测试的时候，用IE浏览器http 的cut-through proxy 认证完成之后会跳到后端http的认证界面，但是https的proxy认证完成之后出现一个无法访问的界面，用火狐浏览器两个都正常。

还有一点比较奇怪，这个标题标注【已解决】但是看跟帖其实只有一个修改ACL的有价值（实际ACL没错），其余都没什么价值，基本是灌水，没有哪个地方有说明介绍问题是如何解决的。

碧云天

在ASA8.4的模拟器测试了一下，对于http和https使用非标准端口，ACL不需要添加http和https标准端口的放行，貌似之前IE不能用是因为IE设置的问题，加入信任站点后正常。
同时将内部相同IP的不同端口（80，443）映射到外部相同IP不同端口，费了些周折，贴出了一起分享（ASA8.42)，参考链接：https://supportforums.cisco.com/thread/2113451
A.定义object（注意source ，非destination）
object network R1
     host 10.1.1.18
object service http
    service tcp source eq www
object service https
    service tcp source eq https
object service httpmap
    service tcp source eq 8080
object service httpsmap
    service tcp source eq 8443
B.配置静态PAT
nat (inside,outside) source static R1 interface service https httpsmap
nat (inside,outside) source static R1 interface service http httpmap
C.放行策略
access-list httpandhttps extended permit tcp any object R1 eq https
access-list httpandhttps extended permit tcp any object R1 eq www
access-group httpandhttps in interface outside

wzhuoxing

碧云天 发表于 2013-2-13 15:59
在ASA8.4的模拟器测试了一下，对于http和https使用非标准端口，ACL不需要添加http和https标准端口的放行，貌 ...

请问我能加你的Q吗,非常荣幸能交你为朋友，一个真心的想帮人，我非常欣赏你这样的网络工程师