Cisco-ASA之远程配置

Kyon

需求：给予cisco-ASA配置远程可管理的配置。

　　开始一直在惯性思维上做文章，做了许久的telnet配置，后来网上搜索发现，ASA防火墙本身安全特性，不支持telnet，建议用安全协议ssh远程。如下搜集的ssh配置。

　　ASA5500系列命令,我发现的软件版本7.0以上的正确配置方法如下:

　　//配置服务器端

　　ciscoasa(config)#crypto key generate rsa modulus 1024 //指定rsa系数的大小,这个值越大,产生rsa的时间越长,cisco推荐使用1024.

　　ciscoasa(config)#write mem //保存刚刚产生的密钥

　　ciscoasa(config)#ssh 0.0.0.0 0.0.0.0 outside //0.0.0.0 0.0.0.0 表示任何外部主机都能通过SSH访问outside接口,当然你可以指定具体的主机或网络来进行访问,outside也可以改为inside即表示内部通过SSH访问防火墙

　　ciscoasa(config)#ssh timeout 30 //设置超时时间,单位为分钟

　　ciscoasa(config)#ssh version 1 //指定SSH版本,可以选择版本2

　　//配置客户端

　　ciscoasa(config)#passwd 密码 //passwd命令所指定的密码为远程访问密码,同样适用于telnet

　　所有7.0版本以上的用户名默认为pix,其它的版本我不知道。这里可以看出ASA还有PIX的影子的，呵呵,网上说的ASA防火墙配置SSH通过命令 "username 用户名 password 密码"来创建帐号,我测试了n次都说帐号错误.由此看出软件版本7.0上的用户名都是pix.不信大家可以试试.

　　//相关命令

　　show ssh //参看SSH配置信息

　　show crypto key mypubkey rsa //查看产生的rsa密钥值

　　crypto key zeroize //清空所有产生的密钥

　　以上命令资料都是来自ASA5500系列防火墙官方配置指南和实际测试通过.

　　补充一下：关于自我实践中遇到的现象与解决办法

　　按照步骤配置后，可以登录，但是客户那边登录了几次后 大约过了1个小时打电话过来说登录不进去，现象为用户名和密码错误。

　　分析：可能在于配置ssh的时间上，但是感觉这个应该是每次允许连接的有效时长，而非总时长。也就是说过了1小时后，再登录应该可以的。查询后，有建议说配置用户名和密码，做本地验证。感觉很合理。是cisco安全限制做的局限的BT啦。。。

　　尝试做了新用户和密码 ，做本地认证后，正常。

　　其中还有个连接问题：尝试配置了ssh 0.0.0.0 255.255.255.255 后，用crt连接出现错误：连接已复位，请从新连接。 我把配置这条删除后，问题解决。好多问题跟迷信一样很费解。Easyinlab Welcome