輕鬆配置Cisco PIX防火牆實現SSH訪問
- 摘要:前幾天玩PIX遇到一個小麻煩,想經過SSH的方式登錄到PIX,對PIX進行調試,但是怎麼也弄很差SSH的設置,後來通過幾位兄弟的熱心幫忙,問題終於解決了,我整理了一下,你們一塊兒分享好了。
- 標籤:配置
爲了配置SSH來訪問PIX,咱們須要完成兩組獨立服務。 ·配置PIX來接受SSH鏈接。 ·配製咱們的SSH客戶端來鏈接到PIX。 1.下邊開始配置PIX來接受SSH鏈接 pixfirewall(config)#hostname 21vianet 21vianet(config)#domain-name 21vianet.com 爲PIX分配主機名和域名。要想產生RSA密鑰集,這是必需的。 21vianet(config)#ca generater sa key 2048 cazeroizersa清空之前配置 產生一對RSA密鑰,而且存到FLASH裏。 21vianet(config)#sh ca mypubkey rsa 查看剛剛產生的RSA公鑰。 21vianet(config)#ca saveall 產生這些密鑰後,咱們必需要把它存到FLASH中,若是這步指定失敗,那麼下次重啓後從新加載時,密鑰會被刪除。 21vianet(config)#ssh 211.99.223.50 255.255.255.255 outside 那些主機將容許使用SSH來訪問PIX防火牆。 21vianet(config)#ssh timeout 60 設置超時時間。 21vianet(config)#password cisco 設定TELNET口令(這個口令將是咱們在客戶端進入PIX的口令) 以上PIX防火牆端配置完畢。 2.如下是配置SSH客戶端來鏈接到PIX 咱們拿SecureCRT4.1爲例子 選擇協議:ssh1(由於如今CISCO設備不支持SSH2) 端口號:22 hostname:防火牆外口IP username:pix(必定要是pix) primary:password 以上步驟完成,那麼咱們開始鏈接到PIX。 點擊connect之後,會讓輸入密碼,這時候你輸入剛纔咱們設定的cisco就能夠鏈接上PIX了。 配置PIXSSH 咱們可使用如下命令來配置本地SSH(非AAA Authentication方式): hostname goss-d3-pix515b domain-name rtp.cisco.com ca gen rsa key1024 ssh 0.0.0.0 0.0.0.0 outside ssh timeout 60 passwd cisco wrmem 以上命令解釋以下: 第一句配置主機名稱(可選)。 第二句配置域名,這一句必須有。 cagen rsakey1024,配置rsakey,若是使用非AAA Authentication方式的ssh,這條命令不能少。 ssh 0.0.0.0 0.0.0.0 outside, 配置能夠經過外部接口訪問到pix的地址範圍,實際使用中要注意地址範圍,夠用便可,不要開的太大,ssh timeout 60,配置ssh延時,須要注意 的是不一樣版本的pix,timeout的是單位是不同的,注意區分minute和second,passwd cisco配置登錄pix使用的口令爲 cisco,wrmem保存配置。 須要注意的是wrmem不能保存關於rsakey的配置,可使用casaveall來保存關於rsakey的配置。 經過這種方式,咱們不用爲每個須要登錄到pix的用戶配置用戶名,使用SSH客戶端工具登錄pix的時候,默認的用戶名爲pix。
