轻松配置Cisco PIX防火墙实现SSH访问
- 摘要:前几天玩PIX遇到一个小麻烦,想经过SSH的方式登录到PIX,对PIX进行调试,但是怎么也弄很差SSH的设置,后来通过几位兄弟的热心帮忙,问题终于解决了,我整理了一下,你们一块儿分享好了。
- 标签:配置
为了配置SSH来访问PIX,咱们须要完成两组独立服务。 ·配置PIX来接受SSH链接。 ·配制咱们的SSH客户端来链接到PIX。 1.下边开始配置PIX来接受SSH链接 pixfirewall(config)#hostname 21vianet 21vianet(config)#domain-name 21vianet.com 为PIX分配主机名和域名。要想产生RSA密钥集,这是必需的。 21vianet(config)#ca generater sa key 2048 cazeroizersa清空之前配置 产生一对RSA密钥,而且存到FLASH里。 21vianet(config)#sh ca mypubkey rsa 查看刚刚产生的RSA公钥。 21vianet(config)#ca saveall 产生这些密钥后,咱们必需要把它存到FLASH中,若是这步指定失败,那么下次重启后从新加载时,密钥会被删除。 21vianet(config)#ssh 211.99.223.50 255.255.255.255 outside 那些主机将容许使用SSH来访问PIX防火墙。 21vianet(config)#ssh timeout 60 设置超时时间。 21vianet(config)#password cisco 设定TELNET口令(这个口令将是咱们在客户端进入PIX的口令) 以上PIX防火墙端配置完毕。 2.如下是配置SSH客户端来链接到PIX 咱们拿SecureCRT4.1为例子 选择协议:ssh1(由于如今CISCO设备不支持SSH2) 端口号:22 hostname:防火墙外口IP username:pix(必定要是pix) primary:password 以上步骤完成,那么咱们开始链接到PIX。 点击connect之后,会让输入密码,这时候你输入刚才咱们设定的cisco就能够链接上PIX了。 配置PIXSSH 咱们可使用如下命令来配置本地SSH(非AAA Authentication方式): hostname goss-d3-pix515b domain-name rtp.cisco.com ca gen rsa key1024 ssh 0.0.0.0 0.0.0.0 outside ssh timeout 60 passwd cisco wrmem 以上命令解释以下: 第一句配置主机名称(可选)。 第二句配置域名,这一句必须有。 cagen rsakey1024,配置rsakey,若是使用非AAA Authentication方式的ssh,这条命令不能少。 ssh 0.0.0.0 0.0.0.0 outside, 配置能够经过外部接口访问到pix的地址范围,实际使用中要注意地址范围,够用便可,不要开的太大,ssh timeout 60,配置ssh延时,须要注意 的是不一样版本的pix,timeout的是单位是不同的,注意区分minute和second,passwd cisco配置登录pix使用的口令为 cisco,wrmem保存配置。 须要注意的是wrmem不能保存关于rsakey的配置,可使用casaveall来保存关于rsakey的配置。 经过这种方式,咱们不用为每个须要登录到pix的用户配置用户名,使用SSH客户端工具登录pix的时候,默认的用户名为pix。
