轻松配置Cisco PIX防火墙实现SSH访问

作者: 出处:ChinaUnix.net　 (  ) 砖  (  ) 好  评论 ( ) 条 　进入论坛

更新时间：2005-11-25 20:01
关 键 词：配置
阅读提示：前几天玩PIX遇到一个小麻烦，想通过SSH的方式登陆到PIX，对PIX进行调试，可是怎么也弄不好SSH的设置，后来经过几位兄弟的热心帮忙，问题终于解决了，我整理了一下，大家一起分享好了。

为了配置SSH来访问PIX，我们需要完成两组独立服务。
·配置PIX来接受SSH连接。
·配制我们的SSH客户端来连接到PIX。
1.下边开始配置PIX来接受SSH连接
pixfirewall(config)#hostname21vianet
21vianet(config)#domain-name21vianet.com
为PIX分配主机名和域名。要想产生RSA密钥集，这是必需的。
21vianet(config)#cageneratersakey2048
cazeroizersa清空以前配置
产生一对RSA密钥，并且存到FLASH里。
21vianet(config)#shcamypubkeyrsa
查看刚刚产生的RSA公钥。
21vianet(config)#casaveall
产生这些密钥后，我们必须要把它存到FLASH中，如果这步指定失败，那么下次重启后重新加载时，密钥会被删除。
21vianet(config)#ssh211.99.223.50255.255.255.255outside
那些主机将允许使用SSH来访问PIX防火墙。
21vianet(config)#sshtimeout60
设置超时时间。
21vianet(config)#passwordcisco
设定TELNET口令（这个口令将是我们在客户端进入PIX的口令）
以上PIX防火墙端配置完毕。
2.以下是配置SSH客户端来连接到PIX
我们拿SecureCRT4.1为例子
选择协议：ssh1（因为现在CISCO设备不支持SSH2）
端口号：22
hostname：防火墙外口IP
username：pix（一定要是pix）
primary：password
以上步骤完成，那么我们开始连接到PIX。
点击connect以后，会让输入密码，这时候你输入刚才我们设定的cisco就可以连接上PIX了。
配置PIXSSH
我们可以使用以下命令来配置本地SSH（非AAAAuthentication方式）：
hostnamegoss-d3-pix515b
domain-namertp.cisco.com
cagenrsakey1024
ssh0.0.0.00.0.0.0outside
sshtimeout60
passwdcisco
wrmem
以上命令解释如下：
第一句配置主机名称（可选）。
第二句配置域名，这一句必须有。
cagenrsakey1024，配置rsakey，如果使用非AAAAuthentication方式的ssh，这条命令不能少。
ssh0.0.0.00.0.0.0outside，配置可以通过外部接口访问到pix的地址范围，实际使用中要注意地址范围，够用即可，不要开的太大，sshtimeout60,配置ssh延时，需要注意的是不同版本的pix，timeout的是单位是不一样的，注意区分minute和second,passwdcisco配置登陆pix使用的口令为cisco，wrmem保存配置。
需要注意的是wrmem不能保存关于rsakey的配置，可以使用casaveall来保存关于rsakey的配置。
通过这种方式，我们不用为每一个需要登陆到pix的用户配置用户名，使用SSH客户端工具登陆pix的时候，默认的用户名为pix。

滚动新闻　术语词典　问题悬赏

我也说两句