思科防火墙telnet的正确配置方法.doc

一、运用 Telnet执行 远程系统管理（Using Telnet for Remote System Management） 　　在内部和第三接口上可经由Telnet访问控制台。第三接口是与PIX防火墙中第三个可用插槽相连的网络。您可用show nameif命令阅读第三接口。列表从上往下的第三项是第三接口。串行控制台让单一用户配置PIX防火墙，但很多情况下这对有多位管理员的站点来说不太方便。PIX防火墙允许您从任意内部接口上的主机经由Telnet访问串行控制台。配置了IPSec后，您就可运用 Telnet从外部接口远程管理PIX防火墙的控制台。本部分包括以下内容：　　 ·　 配置Telnet控制台访问（Configuring Telnet Console Access） 　　 ·　 测试Telnet访问（Testing Telnet Access） 　　 ·　 保卫外部接口上的Telnet连接（Securing a Telnet Connection on the Outside Interface） 　　 ·　 Trace Channel特征（Trace Channel Feature）(一)、配置Telnet控制台访问（Configuring Telnet Console Access）按照以下步骤来配置Telnet控制台访问： 步骤1运用 PIX防火墙telnet命令。 例如，如想让一台位于内部接口之上、地址为192.168.1.2的主机访问PIX防火墙，就输入以下命令。telnet 192.168.1.2 255.255.255.255 inside如果配置了IPSec，您即可让位于外部接口上的主机访问PIX防火墙控制台。具体信息请参见保卫外部接口上的Telnet连接（Securinga Telnet Connection on the Outside Interface）部分。 运用如下命令。telnet 209.165.200.225 225.255.225.224 outside 步骤2如须要，可对PIX防火墙在断开一个Telnet会话前，该会话可闲置的时间长度执行 配置。默认值5分钟对大多数情况来说过短，需予以延长直至完成所有生产前测试和纠错。按下例所示配置较长的闲置时间。telnet timeout 15; 步骤3如果您想用认证服务器来保卫 到控制台的访问，您可运用 aaa authentication telnet console命令，它须要您在验证服务器上有一个用户名和口令。当您访问控制台时，PIX防火墙提示您提供这些登录条件。如果验证服务器离线，您仍可运用用户名pix和由enablepassword命令配置的口令访问控制台。 步骤4　　用write memory命令保存配置中的命令? 　　　　(二)、测试Telnet访问（Testing Telnet Access）　　执行以下步骤来测试Telnet访问： 步骤1从主机启动一个到PIX防火墙接口IP地址的Telnet会话。如果您正运用 Windows 95或Windows NT，点击StartRun来启动Telnet会话。例如，如果内部接口IP地址是192.168.1.1，输入以下命令。telnet 192.168.1.1 步骤2PIX防火墙提示您输入口令：PIX passwd:输入cisco，然后按Enter键。您即登录到PIX防火墙上了。默认口令为cisco，您可用passwd命令来修改它。您可在Telnet控制台上输入任意您可从串行控制台上配置的命令，但如果您重启PIX防火墙，您将需在其重启动后登录PIX防火墙。一些Telnet使用，如Windows 95或Windows NT Telnet会话可能不支持通过箭头键运用的PIX防火墙命令历史记录特征。然而，您可按Ctrl-P来获取最近输入的命令。 步骤3一旦您建立了Telnet访问，您可能想在纠错时阅读 ping（探查）信息。您可用debug icmp trace命令阅读来自Telnet会话的ping信息。Trace Channel特征也对debug的显示有影响，这将在Trace Channel特征（Trace Channel Feature）中详述。成功的ping信息如下： Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2209.165.201.1 Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1209.165.201.23 步骤4此外，您可运用 Telnet控制台会话来阅读系统日志信息： a. 用logging monitor 7命