需求:给予cisco-ASA配置远程可管理的配置。
开始一直在惯性思维上做文章,做了许久的telnet配置,后来网上搜索发现,ASA防火墙本身安全特性,不支持telnet,建议用安全协议ssh远程。如下搜集的ssh配置。
ASA5500系列命令,我发现的软件版本7.0以上的正确配置方法如下:
//配置服务器端
ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.
ciscoasa(config)#write mem //保存刚刚产生的密钥
ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙
ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟
ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2
//配置客户端
ciscoasa(config)#passwd 密码 //passwd命令所指定的密码为远程访问密码,同样适用于telnet
所有7.0版本以上的用户名默认为pix,其它的版本我不知道。这里可以看出ASA还有PIX的影子的,呵呵,网上说的ASA防火墙配置SSH通过命令 "username 用户名 password 密码"来创建帐号,我测试了n次都说帐号错误.由此看出软件版本7.0上的用户名都是pix.不信大家可以试试.
//相关命令
show ssh //参看SSH配置信息
show crypto key mypubkey rsa //查看产生的rsa密钥值
crypto key zeroize //清空所有产生的密钥
以上命令资料都是来自ASA5500系列防火墙官方配置指南和实际测试通过.
补充一下:关于自我实践中遇到的现象与解决办法
按照步骤配置后,可以登录,但是客户那边登录了几次后 大约过了1个小时打电话过来说登录不进去,现象为用户名和密码错误。
分析:可能在于配置ssh的时间上,但是感觉这个应该是每次允许连接的有效时长,而非总时长。也就是说过了1小时后,再登录应该可以的。查询后,有建议说配置用户名和密码,做本地验证。感觉很合理。是cisco安全限制做的局限的BT啦。。。
尝试做了新用户和密码 ,做本地认证后,正常。
其中还有个连接问题:尝试配置了ssh 0.0.0.0 255.255.255.255 后,用crt连接出现错误:连接已复位,请从新连接。 我把配置这条删除后,问题解决。好多问题跟迷信一样很费解。
责任编辑:小草