收藏
下载资源

思科防火墙telnet 的正确配置方法

上传人:mg****85 文档编号:33581593 上传时间:2018-02-15 格式:DOC 页数:5 大小:40KB
返回 下载 相关 举报
思科防火墙telnet 的正确配置方法_第1页
第1页 / 共5页
思科防火墙telnet 的正确配置方法_第2页
第2页 / 共5页
思科防火墙telnet 的正确配置方法_第3页
第3页 / 共5页
思科防火墙telnet 的正确配置方法_第4页
第4页 / 共5页
思科防火墙telnet 的正确配置方法_第5页
第5页 / 共5页
亲,该文档总共5页,全部预览完了,如果喜欢就下载吧!
资源描述

《思科防火墙telnet 的正确配置方法》由会员分享,可在线阅读,更多相关《思科防火墙telnet 的正确配置方法(5页珍藏版)》请在金锄头文库上搜索。

1、一、运用 Telnet执行 远程系统管理(Using Telnet for Remote System Management) 在内部和第三接口上可经由 Telnet访问控制台。第三接口是与 PIX防火墙中第三个可用插槽相连的网络。您可用 show nameif命令阅读第三接口。列表从上往下的第三项是第三接口。串行控制台让单一用户配置 PIX防火墙,但很多情况下这对有多位管理员的站点来说不太方便。PIX 防火墙允许您从任意内部接口上的主机经由 Telnet访问串行控制台。配置了 IPSec后,您就可运用 Telnet从外部接口远程管理 PIX防火墙的控制台。本部分包括以下内容: 配置 Teln

2、et控制台访问(Configuring Telnet Console Access) 测试 Telnet访问(Testing Telnet Access) 保卫外部接口上的 Telnet连接(Securing a Telnet Connection on the Outside Interface) Trace Channel 特征(Trace Channel Feature)(一)、配置 Telnet控制台访问(Configuring Telnet Console Access)按照以下步骤来配置 Telnet控制台访问: 步骤 1运用 PIX 防火墙 telnet命令。例如,如想让一台位于

3、内部接口之上、地址为 192.168.1.2的主机访问 PIX防火墙,就输入以下命令。telnet 192.168.1.2 255.255.255.255 inside如果配置了 IPSec,您即可让位于外部接口上的主机访问 PIX防火墙控制台。具体信息请参见保卫外部接口上的 Telnet连接(Securinga Telnet Connection on the Outside Interface)部分。运用如下命令。telnet 209.165.200.225 225.255.225.224 outside步骤 2如须要,可对 PIX防火墙在断开一个 Telnet会话前,该会话可闲置的时间长

4、度执行 配置。默认值 5分钟对大多数情况来说过短,需予以延长直至完成所有生产前测试和纠错。按下例所示配置较长的闲置时间。telnet timeout 15;步骤 3如果您想用认证服务器来保卫 到控制台的访问,您可运用 aaa authentication telnet console命令,它须要您在验证服务器上有一个用户名和口令。当您访问控制台时,PIX 防火墙提示您提供这些登录条件。如果验证服务器离线,您仍可运用用户名 pix和由 enablepassword命令配置的口令访问控制台。步骤 4用 write memory命令保存配置中的命令? (二)、测试 Telnet访问(Testing

5、Telnet Access)执行以下步骤来测试 Telnet访问:步骤 1从主机启动一个到 PIX防火墙接口 IP地址的 Telnet会话。如果您正运用 Windows 95或 Windows NT,点击 StartRun来启动 Telnet会话。例如,如果内部接口 IP地址是 192.168.1.1,输入以下命令。telnet 192.168.1.1步骤 2PIX防火墙提示您输入口令:PIX passwd:输入 cisco,然后按 Enter键。您即登录到 PIX防火墙上了。默认口令为 cisco,您可用 passwd命令来修改它。您可在 Telnet控制台上输入任意您可从串行控制台上配置的

6、命令,但如果您重启 PIX防火墙,您将需在其重启动后登录 PIX防火墙。一些 Telnet使用,如Windows 95或 Windows NT Telnet会话可能不支持通过箭头键运用的 PIX防火墙命令历史记录特征。然而,您可按 Ctrl-P来获取最近输入的命令。步骤 3一旦您建立了 Telnet访问,您可能想在纠错时阅读 ping(探查)信息。您可用 debug icmp trace命令阅读来自 Telnet会话的 ping信息。Trace Channel特征也对 debug的显示有影响,这将在Trace Channel特征(Trace Channel Feature)中详述。成功的 pi

7、ng信息如下:Outbound ICMP echo request (len 32 id 1 seq 512) 209.165.201.2209.165.201.1Inbound ICMP echo reply (len 32 id 1 seq 256) 209.165.201.1209.165.201.23步骤 4此外,您可运用 Telnet 控制台会话来阅读系统日志信息:a. 用 logging monitor 7命令启动信息显示。7将使所有系统日志级别均得以显示。如果您正在生产模式下运用 PIX防火墙,您可能希望运用 logging buffered 7命令唇 畔娲谀 捎胹 how lo

8、gging命令阅读的缓存中,还可用 clear logging命令清理缓存以便更方便地阅读。如想停止缓存信息,运用 no logging buffered命令。您也可将数目从 7降至较小值,如 3,以限定所显示的信息数。b. 如果您输入 logging monitor命令,然后输入 terminal monitor命令来使信息在您的 Telnet会话中显示。如想禁止信息显示,运用 terminal no monitor命令。例 1给出了运用 Telnet 允许主机访问 PIX防火墙控制台的命令。例 1 运用 Telnettelnet 10.1.1.11 255.255.255.255telne

9、t 192.168.3.0 255.255.255.0第一个 telnet命令允许单一主机,10.1.1.11 用 Telnet访问 PIX防火墙控制台。网络掩模的最后八位字节中的数值 255表明只有指定主机可访问该控制台。第二个 telnet命令允许 192.168.3.0网络上的所有主机访问 PIX防火墙控制台。网络掩模的最后八位字节中的数值 0允许那一网络中的所有主机执行 访问。然而,Telnet 只允许 16台主机同时访问 PIX防火墙控制台。 (三)、保卫外部接口上的 Telnet连接 (Securing a Telnet Connection on the Outside Inte

10、rface)本部分讲述如何 保卫到 PIX防火墙的外部接口的 PIX防火墙控制台 Telnet连接。它包括以下内容: 概述(Overview) 运用 Cisco Secure VPN Client (Using Cisco Secure VPN Client) 运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 概述(Overview)如果您正运用 Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正运用 Cisco VPN Client 3.0, Cisco Secure

11、VPN Client 1.1或 Cisco VPN 3000 Client 2.5来保卫您的 Telnet连接。在下一部分的举例中,PIX 防火墙的外部接口的 IP地址是 168.20.1.5,Cisco Secure VPN Client的 IP地址来自于虚拟地址池,为 10.1.2.0。有关此命令的具体信息,请参见Cisco PIX防火墙命令参考中 telnet命令页。您将需在您的 VPN客户机上配置两个安全策略。一个用于保卫您的 Telnet连接,另一个保卫您到内部网络的连接。运用 Cisco Secure VPN Client (Using Cisco Secure VPN Clien

12、t)本部分仅适用于您运用 Cisco Secure VPN Client的情况。如想对您到 PIX防火墙的外部接口的 Telnet连接加密,则将以下步骤作为您 PIX防火墙配置的一部分加以执行步骤 1建立一个 access-list命令语句,解释需从 PIX防火墙到运用来自本地虚拟地址池中目的地址的 VPN客户机而执行 保卫的流量 access-list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0步骤 2解释哪台主机可用 Telnet访问 PIX防火墙控制台:telnet 10.1.2.0 255.255.255.0 outside从

13、本地池和外部接口指定 VPN客户机的地址。步骤 3在 VPN客户机中,建立 一个安全策略,将远程方身份识别 IP地址与网关 IP地址解释为相同-PIX 防火墙外部接口的 IP地址。在此例中,PIX 防火墙的外部 IP地址为 168.20.1.5。步骤 4配置 VPN客户机上的其它安全策略,以与 PIX防火墙的安全策略相配。运用 Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)本部分仅适用于您运用 Cisco VPN 3000 Client的情况。如想对您到 PIX防火墙的外部接口的 Telnet连接加密,则将以下步骤作为您 PIX防火墙配置

14、的一部分加以执行。在下例中,PIX 防火墙外部接口的 IP地址为 168.20.1.5,Cisco VPN 3000 Client的 IP地址来自于虚拟地址池,为 10.1.2.0。解释哪台主机可用 Telnet访问 PIX防火墙。从本地池和外部接口指定 VPN客户机的地址。telnet 10.1.2.0 255.255.255.0 outside(四)、Trace Channel 特征(Trace Channel Feature)debug packet命令将其输出送至 Trace Channel。其它所有 debug命令则并非如此。Trace Channel的运用改动了您在 PIX防火墙控

15、制台或 Telnet会话期间阅读屏幕上输出结果的形式。如果一个 debug命令不运用 Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不运用 Trace Channel的会话的输出是禁用的。Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步 Telnet控制台会话,还是您只运用 PIX 防火墙串行控制台:o如果您仅运用 PIX 防火墙串行控制台,所有 debug命令都显示在串行控制台上。o如果您有一个串行控制台会话和一个 Telnet控制台会话同时访问控制台,那么无论您在何处输入 debug命令,输出均显示在

16、Telnet控制台会话上。 o如果您有 2个或更多 Telnet控制台会话,则第一个会话是 Trace Channel。如果那一会话关上,那么串行控制台会话变成 Trace Channel。随后是访问控制台的下一 Telnet控制台会话成为 Trace Channel。 debug 命令在所有 Telnet和串行控制台会话间共享。留心 Trace Channel特征的缺点是,如果一位管理员正运用串行控制台,另一管理员启动一个Telnet控制台会话,则串行控制台上的 debug命令输出会在毫无警告的情况下停止。此外,Telnet 控制台会话上的管理员将突然看到 debug命令的输出,这可能是其不希望出现的局面。如果您正运用串行控制台,且未出现 debug命令的输出 ,运用 who 命令来查看能不能有 Telnet控制台会话正在运行。二、IDS 系统日志信息(IDS Syslog Mes

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 建筑/环境 > 建筑资料

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号