PIXASA7.x在内部和外部接口的SSHTelnet配置示例.PDFVIP

PIX/ASA 7.x：在内部和外部接口的SSH/Telnet配 置示例 目录 简介 先决条件 要求 使用的组件 相关产品 规则 配置 网络图 SSH 配置 用 ASDM 5.x 进行配置 用 ASDM 6.x 进行配置 Telnet 配置 ACS 4.x 中的 SSH/Telnet 支持 验证 调试 SSH 查看活动的 SSH 会话 查看 RSA 公钥 故障排除 如何从 PIX 删除 RSA 密钥 SSH 连接失败 无法通过 SSH 访问 ASA 使用SSH，无法访问第二ASA 相关信息 简介 本文档对于在 Cisco 系列安全设备 7.x 版及更高版本的内部和外部接口上配置 Secure Shell (SSH) 提供了一个示例。用命令行远程配置系列安全设备的过程中使用 Telnet 或 SSH。由于 Telnet 通信 是以明文发送的（其中包括口令），因此强烈建议使用 SSH。SSH 流量在某个隧道中进行加密 ，并因此帮助保护口令和其他配置命令免遭拦截。 安全设备允许通过 SSH 连接到安全设备进行管理。安全设备对于每个安全上下文最多允许五个并 发的 SSH 连接（如果有），而对于所有上下文合在一起全局最多支持 100 个连接。 在本配置示例中，将 PIX 安全设备视为 SSH 服务器。从 SSH 客户端（/24 和 /16）到 SSH 服务器的流量受到加密。安全设备支持 SSH 版本 1 和 2 中提供的 SSH 远 程 shell 功能，并支持数据加密标准 (DES) 和 3DES 加密。SSH 版本 1 和 2 存在差异，不可互操 作。 先决条件 要求 本文档没有任何特定的要求。 使用的组件 本文档中的信息基于 Cisco PIX 防火墙软件 7.1 版和 8.0 版。 本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原 始（默认）配置。如果您使用的是真实网络，请确保您已经了解所有命令的潜在影响。 注意： PIX/ASA版本7.x和以上支持和版本不支持SSHv2前对7.x。 相关产品 此配置可能也与有软件版本的7.x Cisco ASA 5500系列安全工具一起使用和以后。 规则 有关文档规则的详细信息，请参阅 Cisco 技术提示规则。 配置 本部分提供有关如何配置本文档所述功能的信息。 注意： 对于每个配置步骤都提供使用命令行或自适应安全设备管理器 (ASDM) 所需的信息。 注意： 使用命令查找工具 （仅限注册用户 ）可获取有关本部分所使用命令的详细信息。 网络图 本文档使用以下网络设置： SSH 配置 本文档使用以下配置： 通过 SSH 访问安全设备 如何使用 SSH 客户端 PIX 配置 通过 SSH 访问安全设备 完成以下这些步骤，以便配置对安全设备的 SSH 访问： 1. SSH 会话始终要求输入用户名和口令进行身份验证。有二种方式可满足此要求。配置用户名 和口令，并使用 AAA：语法：pix(config)#username username password password pix(config)#aaa authentication {telnet | ssh | http | serial} console {LOCAL | server_group [LOCAL]} 注意： 如果使用 TACACS+ 或 RADIUS 服务器组进行身份验证，则可以将安全设备 配置为在 AAA 服务器不可用时使用本地数据库作为备用方法。指定服务器组名称，然后指定 LOCAL（LOCAL 区分大小写）。建议在本地数据库中使用的用户名和口令与 AAA 服务器相 同，因为安全设备提示符并不指明使用何种方法。注意： 示例：pix(config)#aaa authentication ssh console TACACS+ LOCAL 注意： 还可以使用本地数据库作为身份验证的主要 方法，而不设置备用方法。为此，请仅输入 LOCAL。示例：pix(config)#aaa authentication ssh console LOCAL 或者使用默认用户名 pix 和默认 Telnet 口令 cisco。可以用下面这个命令更 改 Telnet 口令：pix(config)#passwd password 注意： 这种情况下也可以使用 password 命令。 这两个命令作用相同。 2. 为 PIX 防火墙生