为了配置SSH来访问PIX,我们需要完成两组独立服务。
·配置PIX来接受SSH连接。
·配制我们的SSH客户端来连接到PIX。
1.下边开始配置PIX来接受SSH连接
pixfirewall(config)#hostname 21vianet
21vianet (config)#domain-name 21vianet.com
为PIX分配主机名和域名。要想产生RSA密钥集,这是必需的。
21vianet (config)#ca generate rsa key 2048
ca zeroize rsa 清空以前配置产生一对RSA密钥,并且存到FLASH里。
21vianet (config)#sh ca mypubkey rsa
查看刚刚产生的RSA公钥。
21vianet (config)#ca save all
产生这些密钥后,我们必须要把它存到FLASH中,如果这步指定失败,那么下次重启后重新加载时,密钥会被删除。
21vianet (config)#ssh 211.99.223.50 255.255.255.255 outside
那些主机将允许使用SSH来访问PIX防火墙。
21vianet (config)#ssh timeout 60
设置超时时间。
21vianet (config)#password cisco
设定TELNET口令(这个口令将是我们在客户端进入PIX的口令)
以上PIX防火墙端配置完毕。
2.以下是配置SSH客户端来连接到PIX
我们拿SecureCRT 4.1为例子
选择协议:ssh1 (因为现在CISCO设备不支持SSH2)
端口号: 22
hostname:防火墙外口IP
username:pix (一定要是pix)
primary :password
以上步骤完成,那么我们开始连接到PIX。
点击connect以后,会让输入密码,这时候你输入刚才我们设定的cisco就可以连接上PIX了。
http://www.51cto.com 2005-11-25 20:01 出处:ChinaUnix.net
前几天玩PIX遇到一个小麻烦,想通过SSH的方式登陆到PIX,对PIX进行调试,可是怎么也弄不好SSH的设置,后来经过几位兄弟的热心帮忙,问题终于解决了,我整理了一下,大家一起分享好了。
配置PIX SSH
我们可以使用以下命令来配置本地SSH(非AAA Authentication方式):
hostname goss-d3-pix515b
domain-name rtp.cisco.com
ca gen rsa key 1024
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
passwd cisco
wr mem
以上命令解释如下:
第一句配置主机名称(可选)。
第二句配置域名,这一句必须有。
ca gen rsa key 1024,配置rsa key,如果使用非AAA Authentication方式的ssh,这条命令不能少。
ssh 0.0.0.0 0.0.0.0 outside,配置可以通过外部接口访问到pix的地址范围,实际使用中要注意地址范围,够用即可,不要开的太大,ssh timeout 60,配置ssh 延时,需要注意的是不同版本的pix,timeout 的是单位是不一样的,注意区分minute 和second,passwd cisco配置登陆pix使用的口令为cisco,wr mem保存配置。
需要注意的是wr mem不能保存关于rsa key的配置,可以使用 ca save all来保存关于rsa key的配置。
通过这种方式,我们不用为每一个需要登陆到pix的用户配置用户名,使用SSH客户端工具登陆pix的时候,默认的用户名为pix。
|