密钥telnet命令
telnet命令 时间:2021-05-18 阅读:()
ASA版本9.
xSSH和Telnet在内部和外部接口配置示例目录简介先决条件要求使用的组件相关产品规则配置网络图SSH配置通过SSH访问安全设备ASA配置ASDM版本7.
2.
1配置Telnet配置Telnet示例情形验证调试SSH查看活动的SSH会话查看公共RSA密钥故障排除从ASA去除RSA密钥SSH连接失败简介本文描述如何配置在Cisco系列安全工具版本9.
x和以上的内部和外部接口的安全壳SSH.
当您必须用CLI远程配置和监控思科可适应安全工具(ASA)时,使用Telnet或SSH要求.
由于Telnet通信在明文发送,能包括密码,SSH是高度推荐的.
SSH流量在通道加密,并且从而帮助保护密码和其他敏感配置命令从拦截.
ASA允许对安全工具的SSH连接管理目的.
安全设备对于每个安全上下文最多允许五个并发的SSH连接(如果有),而对于所有上下文合在一起全局最多支持100个连接.
先决条件要求本文档没有任何特定的要求.
使用的组件本文档中的信息根据CiscoASA防火墙软件版本9.
1.
5.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
注意:ASA版本7.
x和以上支持SSH版本2(SSHv2).
相关产品此配置可能也与有软件版本的9.
xCiscoASA5500系列安全工具一起使用和以后.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
配置请使用在此部分被提供为了配置功能在本文描述的信息.
注意:描述的每配置步骤提供是必要为了使用CLI或可适应安全设备管理器的信息(ASDM).
注意:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
网络图在本例中配置示例,ASA认为SSH服务器.
从SSH客户端的流量(198.
51.
100.
70/32和172.
16.
5.
20/24)SSH服务器的加密.
安全工具支持在SSH版本1和2提供的SSH远程shell协议功能并且支持数据加密标准(DES)和3DES密码器.
SSH版本1和2存在差异,不可互操作.
SSH配置本文档使用以下配置:通过SSH访问安全设备q如何使用SSH客户端qASA配置q通过SSH访问安全设备完成以下这些步骤,以便配置对安全设备的SSH访问:SSH会话总是需要一个认证形式例如用户名和密码.
有您能使用为了符合此要求的两个方法.
您能使用为了符合此要求的第一种方法是配置与使用的一个用户名和密码验证、授权和统计(AAA):ASA(config)#usernameusernamepasswordpasswordASA(config)#aaaauthentication{telnet|ssh|http|serial}console{LOCAL|server_group[LOCAL]}注意:如果使用一TACACS+或RADIUS服务器组验证,您能配置安全工具,以便使用本地数据库作为fallback方法,如果AAA服务器不可用.
指定服务器组名称,然后指定LOCAL(LOCAL区分大小写).
思科建议您在本地数据库和AAA服务器使用相同用户名和密码,因为安全工具提示符不给予使用方法的任何征兆.
为了指定TACACS+的一个本地备份,请使用此配置SSH验证:ASA(config)#aaaauthenticationsshconsoleTACACS+LOCAL还可以使用本地数据库作为身份验证的主要方法,而不设置备用方法.
为了执行此,单独回车本地:ASA(config)#aaaauthenticationsshconsoleLOCAL您能使用为了符合此要求的第二种方法是使用ASA默认用户名和cisco默认远程登录密码.
可以用下面这个命令更改Telnet口令:ASA(config)#passwdpassword注意:在这种情况下password命令可能类似也使用,作为两个function命令.
1.
生成ASA防火墙的一个RSA密钥对,为SSH要求:ASA(config)#cryptokeygeneratersamodulusmodulus_size注意:modulus_size(以位为单位)可以是512、768、1024或2048.
指定的密钥模数大小越大,生成RSA密钥对所需的时间就越长.
推荐值为2048.
使用为了生成一个RSA密钥对的命令为ASA软件版本早于版本7.
x是不同的.
在更早版本中,域名,在您能创建密钥前,必须设置.
在多个上下文模式,您必须生成每上下文的RSA密钥.
2.
指定允许连接到安全工具的主机.
此命令指定允许连接SSH主机的源地址、网络屏蔽和接口.
可以多次输入此命令,从而指定多个主机、网络或接口.
在本例中,在内部的一台主机和在外部的一台主机允许:ASA(config)#ssh172.
16.
5.
20255.
255.
255.
255insideASA(config)#ssh198.
51.
10.
70255.
255.
255.
255outside3.
此步骤是可选的.
默认情况下,安全工具允许SSH版本1和版本2.
回车此命令为了限制对一个特定版本的连接:ASA(config)#sshversion注意:version_number可以是1或2.
4.
此步骤是可选的.
默认情况下,SSH会话在五分钟非活动之后关闭.
此超时可以配置持续在1和60分钟之间:ASA(config)#sshtimeoutminutes5.
ASA配置请使用此信息为了配置ASA:ASAVersion9.
1(5)2!
hostnameASAdomain-namecisco.
cominterfaceGigabitEthernet0/0nameifinsidesecurity-level100ipaddress172.
16.
5.
10255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifoutsidesecurity-level0ipaddress203.
0.
113.
2255.
255.
255.
0!
---AAAfortheSSHconfigurationusernameciscouserpassword3USUcOPFUiMCO4JkencryptedaaaauthenticationsshconsoleLOCALhttpserverenablehttp172.
16.
5.
0255.
255.
255.
0insidenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstartelnettimeout5!
---Enterthiscommandforeachaddressorsubnet!
---toidentifytheIPaddressesfromwhich!
---thesecurityapplianceacceptsconnections.
!
---ThesecurityapplianceacceptsSSHconnectionsfromallinterfaces.
ssh172.
16.
5.
20255.
255.
255.
255insidessh198.
51.
100.
70255.
255.
255.
255outside!
---Allowstheusersonthehost172.
16.
5.
20oninside!
---AllowsSSHaccesstotheuseroninternet198.
51.
100.
70onoutside!
---toaccessthesecurityappliance!
---ontheinsideinterface.
ssh172.
16.
5.
20255.
255.
255.
255inside!
---Setsthedurationfrom1to60minutes!
---(default5minutes)thattheSSHsessioncanbeidle,!
---beforethesecurityappliancedisconnectsthesession.
sshtimeout60consoletimeout0!
class-mapinspection_defaultmatchdefault-inspection-traffic!
!
policy-mapglobal_policyclassinspection_defaultinspectdnsmaximum-length512inspectftpinspecth323h225inspecth323rasinspectnetbiosinspectrshinspectrtspinspectskinnyinspectesmtpinspectsqlnetinspectsunrpcinspecttftpinspectsipinspectxdmcp!
service-policyglobal_policyglobalASDM版本7.
2.
1配置完成这些步骤为了配置ASDM版本7.
2.
1:导航对Configuration>设备管理>Users/AAA>用户帐户为了添加有ASDM的一个用户.
1.
导航对Configuration>设备管理>Users/AAA>AAA访问>验证为了设置SSH的AAA认证与ASDM.
2.
导航对Configuration>设备设置>设备名/密码为了更改与ASDM的远程登录密码.
3.
导航对Configuration>设备管理>CertificateManagement>身份证书,单击添加,并且使用是可用为了生成与ASDM的同样RSA密钥的默认选项.
4.
如果一个不存在,点击添加一个新的身份证书单选按钮并且单击新为了添加一个DEFAULT键对.
一旦完整,请单击当前生成.
5.
导航对Configuration>设备管理>管理访问>Line命令(CLI)>安全壳SSH为了使用ASDM,以便您能指定允许连接SSH的主机和为了指定版本和超时选项.
6.
点击从弹出窗口的"Save"为了保存配置.
7.
提示在闪存中保存配置时,选择Apply以保存配置.
8.
Telnet配置为了添加对控制台的Telnet访问和设置空闲超时,请输入在全局配置模式的Telnet命令.
默认情况下,Telnet会话持续处于非活动状态五分钟,安全设备就会将其关闭.
要从以前设置的IP地址中删除Telnet访问,请使用此命令的no形式.
telnet{{hostname|IP_addressmaskinterface_name}|{IPv6_addressinterface_name}|{timeoutnumber}}notelnet{{hostname|IP_addressmaskinterface_name}|{IPv6_addressinterface_name}|{timeoutnumber}}Telnet命令允许您指定能通过Telnet访问安全工具控制台的主机.
注意:可以在所有接口上对安全设备启用Telnet.
然而,安全工具要求对外部接口的所有Telnet流量由IPsec保护.
为了启用远程登录会话到外部接口,请配置在外部接口的IPsec,以便由在外部接口的安全工具和enable(event)Telnet生成的包括IP数据流.
注意:一般来说,如果比其他接口有安全等级零或降低的任何接口,ASA不允许Telnet对该接口.
注意:思科不通过远程登录会话推荐对安全工具的访问.
验证证件信息,例如密码,发送作为明文.
思科建议您使用SSH被巩固的数据通信.
输入password命令为了设置Telnet访问的一个密码对控制台.
默认密码是cisco.
输入who命令为了查看当前访问安全工具控制台的IP地址.
输入kill命令为了终止一次活动远程控制台会话.
Telnet示例情形为了启用远程登录会话到内部接口,请查看在此部分提供的示例.
示例1此示例允许仅主机172.
16.
5.
20获得访问到安全工具控制台通过Telnet:ASA(config)#telnet172.
16.
5.
20255.
255.
255.
255inside示例2此示例允许仅网络172.
16.
5.
0/24获得访问到安全工具控制台通过Telnet:ASA(config)#telnet172.
16.
5.
0255.
255.
255.
0inside示例3此示例允许所有网络获得访问到安全工具控制台通过Telnet:ASA(config)#telnet0.
0.
0.
00.
0.
0.
0inside如果使用带有console关键字的aaa命令,则必须用身份验证服务器对Telnet控制台访问进行身份验证.
注意:如果配置aaa命令为了要求安全工具和Telnet控制台访问的验证和控制台登录请求时代,您能获得访问到从串行控制台的安全工具.
为此,请输入用enablepassword命令设置的安全设备用户名和口令.
发出telnettimeout命令,以便设置安全设备注销控制台Telnet会话之前该会话可处于空闲状态的最长时间.
不能将notelnet命令与telnettimeout命令配合使用.
本示例显示如何更改会话空闲最长持续时间:hostname(config)#telnettimeout10hostname(config)#showrunning-configtelnettimeouttelnettimeout10minutes验证使用本部分可确认配置能否正常运行.
注意:命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
调试SSH输入debugssh命令为了启用SSH调试:ASA(config)#debugsshSSHdebuggingon此输出显示从一个内部的IP地址(172.
16.
5.
20)的一SSH尝试对ASA的内部接口.
这些调试表示一个成功的连接和验证:Devicesshopenedsuccessfully.
SSH0:SSHclient:IP='172.
16.
5.
20'interface#=1SSH:hostkeyinitialisedSSH0:startingSSHcontrolprocessSSH0:Exchangingversions-SSH-2.
0-Cisco-1.
25SSH0:sendSSHmessage:outdataisNULLserverversionstring:SSH-2.
0-Cisco-1.
25SSH0:receiveSSHmessage:83(83)SSH0:clientversionis-SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsclientversionstring:SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsSSH0:beginserverkeygenerationSSH0:completeserverkeygeneration,elapsedtime=1760msSSH20:SSH2_MSG_KEXINITsentSSH20:SSH2_MSG_KEXINITreceivedSSH2:kex:client->serveraes128-cbchmac-md5noneSSH2:kex:server->clientaes128-cbchmac-md5noneSSH20:expectingSSH2_MSG_KEXDH_INITSSH20:SSH2_MSG_KEXDH_INITreceivedSSH20:signaturelength143SSH2:kex_derive_keyscompleteSSH20:newkeys:mode1SSH20:SSH2_MSG_NEWKEYSsentSSH20:waitingforSSH2_MSG_NEWKEYSSSH20:newkeys:mode0SSH20:SSH2_MSG_NEWKEYSreceivedSSH(cisco):userauthenmethodis'useAAA',aaaservergroupID=1SSH20:authenticationsuccessfulforcisco!
---AuthenticationfortheASAwassuccessful.
SSH20:channelopenrequestSSH20:pty-reqrequestSSH20:requestedtty:vt100,height25,width80SSH20:shellrequestSSH20:shellmessagereceived如果错误用户名输入,例如cisco1而不是cisco,ASA防火墙拒绝验证.
下面的调试输出显示身份验证失败:Devicesshopenedsuccessfully.
SSH0:SSHclient:IP='172.
16.
5.
20'interface#=1SSH:hostkeyinitialisedSSH0:startingSSHcontrolprocessSSH0:Exchangingversions-SSH-2.
0-Cisco-1.
25SSH0:sendSSHmessage:outdataisNULLserverversionstring:SSH-2.
0-Cisco-1.
25SSH0:receiveSSHmessage:83(83)SSH0:clientversionis-SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsclientversionstring:SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsSSH0:beginserverkeygenerationSSH0:completeserverkeygeneration,elapsedtime=1760msSSH20:SSH2_MSG_KEXINITsentSSH20:SSH2_MSG_KEXINITreceivedSSH2:kex:client->serveraes128-cbchmac-md5noneSSH2:kex:server->clientaes128-cbchmac-md5noneSSH20:expectingSSH2_MSG_KEXDH_INITSSH20:SSH2_MSG_KEXDH_INITreceivedSSH20:signaturelength143SSH2:kex_derive_keyscompleteSSH20:newkeys:mode1SSH20:SSH2_MSG_NEWKEYSsentSSH20:waitingforSSH2_MSG_NEWKEYSSSH20:newkeys:mode0SSH20:SSH2_MSG_NEWKEYSreceivedSSH(cisco):userauthenmethodis'useAAA',aaaservergroupID=1SSH20:authenticationfailedforcisco1!
---AuthenticationforASA1wasnotsuccessfulduetothewrongusername.
同样地,如果提供不正确的密码,验证发生故障.
下面的调试输出显示身份验证失败:Devicesshopenedsuccessfully.
SSH0:SSHclient:IP='172.
16.
5.
20'interface#=1SSH:hostkeyinitialisedSSH0:startingSSHcontrolprocessSSH0:Exchangingversions-SSH-2.
0-Cisco-1.
25SSH0:sendSSHmessage:outdataisNULLserverversionstring:SSH-2.
0-Cisco-1.
25SSH0:receiveSSHmessage:83(83)SSH0:clientversionis-SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsclientversionstring:SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsSSH0:beginserverkeygenerationSSH0:completeserverkeygeneration,elapsedtime=1760msSSH20:SSH2_MSG_KEXINITsentSSH20:SSH2_MSG_KEXINITreceivedSSH2:kex:client->serveraes128-cbchmac-md5noneSSH2:kex:server->clientaes128-cbchmac-md5noneSSH20:expectingSSH2_MSG_KEXDH_INITSSH20:SSH2_MSG_KEXDH_INITreceivedSSH20:signaturelength143SSH2:kex_derive_keyscompleteSSH20:newkeys:mode1SSH20:SSH2_MSG_NEWKEYSsentSSH20:waitingforSSH2_MSG_NEWKEYSSSH20:newkeys:mode0SSH20:SSH2_MSG_NEWKEYSreceivedSSH(cisco):userauthenmethodis'useAAA',aaaservergroupID=1SSH20:authenticationfailedforcisco1!
---AuthenticationforASAwasnotsuccessfulduetothewrongpassword.
查看活动的SSH会话输入此命令为了验证的SSH会话数量连接(和连接状态)对ASA:ASA(config)#showsshsessionsSIDClientIPVersionModeEncryptionHmacStateUsername0172.
16.
5.
202.
0INaes256-cbcsha1SessionStartedciscoOUTaes256-cbcsha1SessionStartedcisco导航到Monitoring>属性>设备访问>SecureShell塞申斯为了查看有ASDM的会话.
输入socket命令显示asp的表为了验证TCP会话建立:ASA(config)#showasptablesocketProtocolSocketStateLocalAddressForeignAddressSSL02444758LISTEN203.
0.
113.
2:4430.
0.
0.
0:*TCP02448708LISTEN203.
0.
113.
2:220.
0.
0.
0:*SSL02c75298LISTEN172.
16.
5.
10:4430.
0.
0.
0:*TCP02c77c88LISTEN172.
16.
5.
10:220.
0.
0.
0:*TCP02d032d8ESTAB172.
16.
5.
10:22172.
16.
5.
20:52234查看公共RSA密钥输入此命令为了查看RSA密钥的公共部分在安全工具的:ASA(config)#showcryptokeymypubkeyrsaKeypairwasgeneratedat:23:23:59UTCJul222014Keyname:Usage:GeneralPurposeKeyModulusSize(bits):2048Key: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导航对Configuration>属性>证书>密钥对并且单击显示详细信息为了查看与ASDM的RSA密钥.
故障排除此部分提供您能使用为了排除故障您的配置的信息.
从ASA去除RSA密钥在某些情况下,例如,当您升级ASA软件或更改在ASA时的SSH版本,您也许要求去除和再创RSA密钥.
输入此命令为了从ASA删除RSA密钥对:ASA(config)#cryptokeyzeroizersa导航对Configuration>属性>证书>密钥对并且点击删除为了去除与ASDM的RSA密钥.
SSH连接失败您收到在ASA的此错误消息:%ASA-3-315004:FailtoestablishSSHsessionbecauseRSAhostkeyretrievalfailed.
这是出现在SSH客户端计算机的错误消息:Selectedciphertypenotsupportedbyserver.
为了解决此问题,请去除并且再创RSA密钥.
输入此命令为了从ASA删除RSA密钥对:ASA(config)#cryptokeyzeroizersa输入此命令为了生成新密钥:ASA(config)#cryptokeygeneratersamodulus2048
xSSH和Telnet在内部和外部接口配置示例目录简介先决条件要求使用的组件相关产品规则配置网络图SSH配置通过SSH访问安全设备ASA配置ASDM版本7.
2.
1配置Telnet配置Telnet示例情形验证调试SSH查看活动的SSH会话查看公共RSA密钥故障排除从ASA去除RSA密钥SSH连接失败简介本文描述如何配置在Cisco系列安全工具版本9.
x和以上的内部和外部接口的安全壳SSH.
当您必须用CLI远程配置和监控思科可适应安全工具(ASA)时,使用Telnet或SSH要求.
由于Telnet通信在明文发送,能包括密码,SSH是高度推荐的.
SSH流量在通道加密,并且从而帮助保护密码和其他敏感配置命令从拦截.
ASA允许对安全工具的SSH连接管理目的.
安全设备对于每个安全上下文最多允许五个并发的SSH连接(如果有),而对于所有上下文合在一起全局最多支持100个连接.
先决条件要求本文档没有任何特定的要求.
使用的组件本文档中的信息根据CiscoASA防火墙软件版本9.
1.
5.
本文档中的信息都是基于特定实验室环境中的设备编写的.
本文档中使用的所有设备最初均采用原始(默认)配置.
如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响.
注意:ASA版本7.
x和以上支持SSH版本2(SSHv2).
相关产品此配置可能也与有软件版本的9.
xCiscoASA5500系列安全工具一起使用和以后.
规则有关文档规则的详细信息,请参阅Cisco技术提示规则.
配置请使用在此部分被提供为了配置功能在本文描述的信息.
注意:描述的每配置步骤提供是必要为了使用CLI或可适应安全设备管理器的信息(ASDM).
注意:使用命令查找工具(仅限注册用户)可获取有关本部分所使用命令的详细信息.
网络图在本例中配置示例,ASA认为SSH服务器.
从SSH客户端的流量(198.
51.
100.
70/32和172.
16.
5.
20/24)SSH服务器的加密.
安全工具支持在SSH版本1和2提供的SSH远程shell协议功能并且支持数据加密标准(DES)和3DES密码器.
SSH版本1和2存在差异,不可互操作.
SSH配置本文档使用以下配置:通过SSH访问安全设备q如何使用SSH客户端qASA配置q通过SSH访问安全设备完成以下这些步骤,以便配置对安全设备的SSH访问:SSH会话总是需要一个认证形式例如用户名和密码.
有您能使用为了符合此要求的两个方法.
您能使用为了符合此要求的第一种方法是配置与使用的一个用户名和密码验证、授权和统计(AAA):ASA(config)#usernameusernamepasswordpasswordASA(config)#aaaauthentication{telnet|ssh|http|serial}console{LOCAL|server_group[LOCAL]}注意:如果使用一TACACS+或RADIUS服务器组验证,您能配置安全工具,以便使用本地数据库作为fallback方法,如果AAA服务器不可用.
指定服务器组名称,然后指定LOCAL(LOCAL区分大小写).
思科建议您在本地数据库和AAA服务器使用相同用户名和密码,因为安全工具提示符不给予使用方法的任何征兆.
为了指定TACACS+的一个本地备份,请使用此配置SSH验证:ASA(config)#aaaauthenticationsshconsoleTACACS+LOCAL还可以使用本地数据库作为身份验证的主要方法,而不设置备用方法.
为了执行此,单独回车本地:ASA(config)#aaaauthenticationsshconsoleLOCAL您能使用为了符合此要求的第二种方法是使用ASA默认用户名和cisco默认远程登录密码.
可以用下面这个命令更改Telnet口令:ASA(config)#passwdpassword注意:在这种情况下password命令可能类似也使用,作为两个function命令.
1.
生成ASA防火墙的一个RSA密钥对,为SSH要求:ASA(config)#cryptokeygeneratersamodulusmodulus_size注意:modulus_size(以位为单位)可以是512、768、1024或2048.
指定的密钥模数大小越大,生成RSA密钥对所需的时间就越长.
推荐值为2048.
使用为了生成一个RSA密钥对的命令为ASA软件版本早于版本7.
x是不同的.
在更早版本中,域名,在您能创建密钥前,必须设置.
在多个上下文模式,您必须生成每上下文的RSA密钥.
2.
指定允许连接到安全工具的主机.
此命令指定允许连接SSH主机的源地址、网络屏蔽和接口.
可以多次输入此命令,从而指定多个主机、网络或接口.
在本例中,在内部的一台主机和在外部的一台主机允许:ASA(config)#ssh172.
16.
5.
20255.
255.
255.
255insideASA(config)#ssh198.
51.
10.
70255.
255.
255.
255outside3.
此步骤是可选的.
默认情况下,安全工具允许SSH版本1和版本2.
回车此命令为了限制对一个特定版本的连接:ASA(config)#sshversion注意:version_number可以是1或2.
4.
此步骤是可选的.
默认情况下,SSH会话在五分钟非活动之后关闭.
此超时可以配置持续在1和60分钟之间:ASA(config)#sshtimeoutminutes5.
ASA配置请使用此信息为了配置ASA:ASAVersion9.
1(5)2!
hostnameASAdomain-namecisco.
cominterfaceGigabitEthernet0/0nameifinsidesecurity-level100ipaddress172.
16.
5.
10255.
255.
255.
0!
interfaceGigabitEthernet0/1nameifoutsidesecurity-level0ipaddress203.
0.
113.
2255.
255.
255.
0!
---AAAfortheSSHconfigurationusernameciscouserpassword3USUcOPFUiMCO4JkencryptedaaaauthenticationsshconsoleLOCALhttpserverenablehttp172.
16.
5.
0255.
255.
255.
0insidenosnmp-serverlocationnosnmp-servercontactsnmp-serverenabletrapssnmpauthenticationlinkuplinkdowncoldstartelnettimeout5!
---Enterthiscommandforeachaddressorsubnet!
---toidentifytheIPaddressesfromwhich!
---thesecurityapplianceacceptsconnections.
!
---ThesecurityapplianceacceptsSSHconnectionsfromallinterfaces.
ssh172.
16.
5.
20255.
255.
255.
255insidessh198.
51.
100.
70255.
255.
255.
255outside!
---Allowstheusersonthehost172.
16.
5.
20oninside!
---AllowsSSHaccesstotheuseroninternet198.
51.
100.
70onoutside!
---toaccessthesecurityappliance!
---ontheinsideinterface.
ssh172.
16.
5.
20255.
255.
255.
255inside!
---Setsthedurationfrom1to60minutes!
---(default5minutes)thattheSSHsessioncanbeidle,!
---beforethesecurityappliancedisconnectsthesession.
sshtimeout60consoletimeout0!
class-mapinspection_defaultmatchdefault-inspection-traffic!
!
policy-mapglobal_policyclassinspection_defaultinspectdnsmaximum-length512inspectftpinspecth323h225inspecth323rasinspectnetbiosinspectrshinspectrtspinspectskinnyinspectesmtpinspectsqlnetinspectsunrpcinspecttftpinspectsipinspectxdmcp!
service-policyglobal_policyglobalASDM版本7.
2.
1配置完成这些步骤为了配置ASDM版本7.
2.
1:导航对Configuration>设备管理>Users/AAA>用户帐户为了添加有ASDM的一个用户.
1.
导航对Configuration>设备管理>Users/AAA>AAA访问>验证为了设置SSH的AAA认证与ASDM.
2.
导航对Configuration>设备设置>设备名/密码为了更改与ASDM的远程登录密码.
3.
导航对Configuration>设备管理>CertificateManagement>身份证书,单击添加,并且使用是可用为了生成与ASDM的同样RSA密钥的默认选项.
4.
如果一个不存在,点击添加一个新的身份证书单选按钮并且单击新为了添加一个DEFAULT键对.
一旦完整,请单击当前生成.
5.
导航对Configuration>设备管理>管理访问>Line命令(CLI)>安全壳SSH为了使用ASDM,以便您能指定允许连接SSH的主机和为了指定版本和超时选项.
6.
点击从弹出窗口的"Save"为了保存配置.
7.
提示在闪存中保存配置时,选择Apply以保存配置.
8.
Telnet配置为了添加对控制台的Telnet访问和设置空闲超时,请输入在全局配置模式的Telnet命令.
默认情况下,Telnet会话持续处于非活动状态五分钟,安全设备就会将其关闭.
要从以前设置的IP地址中删除Telnet访问,请使用此命令的no形式.
telnet{{hostname|IP_addressmaskinterface_name}|{IPv6_addressinterface_name}|{timeoutnumber}}notelnet{{hostname|IP_addressmaskinterface_name}|{IPv6_addressinterface_name}|{timeoutnumber}}Telnet命令允许您指定能通过Telnet访问安全工具控制台的主机.
注意:可以在所有接口上对安全设备启用Telnet.
然而,安全工具要求对外部接口的所有Telnet流量由IPsec保护.
为了启用远程登录会话到外部接口,请配置在外部接口的IPsec,以便由在外部接口的安全工具和enable(event)Telnet生成的包括IP数据流.
注意:一般来说,如果比其他接口有安全等级零或降低的任何接口,ASA不允许Telnet对该接口.
注意:思科不通过远程登录会话推荐对安全工具的访问.
验证证件信息,例如密码,发送作为明文.
思科建议您使用SSH被巩固的数据通信.
输入password命令为了设置Telnet访问的一个密码对控制台.
默认密码是cisco.
输入who命令为了查看当前访问安全工具控制台的IP地址.
输入kill命令为了终止一次活动远程控制台会话.
Telnet示例情形为了启用远程登录会话到内部接口,请查看在此部分提供的示例.
示例1此示例允许仅主机172.
16.
5.
20获得访问到安全工具控制台通过Telnet:ASA(config)#telnet172.
16.
5.
20255.
255.
255.
255inside示例2此示例允许仅网络172.
16.
5.
0/24获得访问到安全工具控制台通过Telnet:ASA(config)#telnet172.
16.
5.
0255.
255.
255.
0inside示例3此示例允许所有网络获得访问到安全工具控制台通过Telnet:ASA(config)#telnet0.
0.
0.
00.
0.
0.
0inside如果使用带有console关键字的aaa命令,则必须用身份验证服务器对Telnet控制台访问进行身份验证.
注意:如果配置aaa命令为了要求安全工具和Telnet控制台访问的验证和控制台登录请求时代,您能获得访问到从串行控制台的安全工具.
为此,请输入用enablepassword命令设置的安全设备用户名和口令.
发出telnettimeout命令,以便设置安全设备注销控制台Telnet会话之前该会话可处于空闲状态的最长时间.
不能将notelnet命令与telnettimeout命令配合使用.
本示例显示如何更改会话空闲最长持续时间:hostname(config)#telnettimeout10hostname(config)#showrunning-configtelnettimeouttelnettimeout10minutes验证使用本部分可确认配置能否正常运行.
注意:命令输出解释程序(仅限注册用户)(OIT)支持某些show命令.
使用OIT可查看对show命令输出的分析.
调试SSH输入debugssh命令为了启用SSH调试:ASA(config)#debugsshSSHdebuggingon此输出显示从一个内部的IP地址(172.
16.
5.
20)的一SSH尝试对ASA的内部接口.
这些调试表示一个成功的连接和验证:Devicesshopenedsuccessfully.
SSH0:SSHclient:IP='172.
16.
5.
20'interface#=1SSH:hostkeyinitialisedSSH0:startingSSHcontrolprocessSSH0:Exchangingversions-SSH-2.
0-Cisco-1.
25SSH0:sendSSHmessage:outdataisNULLserverversionstring:SSH-2.
0-Cisco-1.
25SSH0:receiveSSHmessage:83(83)SSH0:clientversionis-SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsclientversionstring:SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsSSH0:beginserverkeygenerationSSH0:completeserverkeygeneration,elapsedtime=1760msSSH20:SSH2_MSG_KEXINITsentSSH20:SSH2_MSG_KEXINITreceivedSSH2:kex:client->serveraes128-cbchmac-md5noneSSH2:kex:server->clientaes128-cbchmac-md5noneSSH20:expectingSSH2_MSG_KEXDH_INITSSH20:SSH2_MSG_KEXDH_INITreceivedSSH20:signaturelength143SSH2:kex_derive_keyscompleteSSH20:newkeys:mode1SSH20:SSH2_MSG_NEWKEYSsentSSH20:waitingforSSH2_MSG_NEWKEYSSSH20:newkeys:mode0SSH20:SSH2_MSG_NEWKEYSreceivedSSH(cisco):userauthenmethodis'useAAA',aaaservergroupID=1SSH20:authenticationsuccessfulforcisco!
---AuthenticationfortheASAwassuccessful.
SSH20:channelopenrequestSSH20:pty-reqrequestSSH20:requestedtty:vt100,height25,width80SSH20:shellrequestSSH20:shellmessagereceived如果错误用户名输入,例如cisco1而不是cisco,ASA防火墙拒绝验证.
下面的调试输出显示身份验证失败:Devicesshopenedsuccessfully.
SSH0:SSHclient:IP='172.
16.
5.
20'interface#=1SSH:hostkeyinitialisedSSH0:startingSSHcontrolprocessSSH0:Exchangingversions-SSH-2.
0-Cisco-1.
25SSH0:sendSSHmessage:outdataisNULLserverversionstring:SSH-2.
0-Cisco-1.
25SSH0:receiveSSHmessage:83(83)SSH0:clientversionis-SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsclientversionstring:SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsSSH0:beginserverkeygenerationSSH0:completeserverkeygeneration,elapsedtime=1760msSSH20:SSH2_MSG_KEXINITsentSSH20:SSH2_MSG_KEXINITreceivedSSH2:kex:client->serveraes128-cbchmac-md5noneSSH2:kex:server->clientaes128-cbchmac-md5noneSSH20:expectingSSH2_MSG_KEXDH_INITSSH20:SSH2_MSG_KEXDH_INITreceivedSSH20:signaturelength143SSH2:kex_derive_keyscompleteSSH20:newkeys:mode1SSH20:SSH2_MSG_NEWKEYSsentSSH20:waitingforSSH2_MSG_NEWKEYSSSH20:newkeys:mode0SSH20:SSH2_MSG_NEWKEYSreceivedSSH(cisco):userauthenmethodis'useAAA',aaaservergroupID=1SSH20:authenticationfailedforcisco1!
---AuthenticationforASA1wasnotsuccessfulduetothewrongusername.
同样地,如果提供不正确的密码,验证发生故障.
下面的调试输出显示身份验证失败:Devicesshopenedsuccessfully.
SSH0:SSHclient:IP='172.
16.
5.
20'interface#=1SSH:hostkeyinitialisedSSH0:startingSSHcontrolprocessSSH0:Exchangingversions-SSH-2.
0-Cisco-1.
25SSH0:sendSSHmessage:outdataisNULLserverversionstring:SSH-2.
0-Cisco-1.
25SSH0:receiveSSHmessage:83(83)SSH0:clientversionis-SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsclientversionstring:SSH-2.
0-PuTTY_Release_0.
62SSHSecureShellforWindowsSSH0:beginserverkeygenerationSSH0:completeserverkeygeneration,elapsedtime=1760msSSH20:SSH2_MSG_KEXINITsentSSH20:SSH2_MSG_KEXINITreceivedSSH2:kex:client->serveraes128-cbchmac-md5noneSSH2:kex:server->clientaes128-cbchmac-md5noneSSH20:expectingSSH2_MSG_KEXDH_INITSSH20:SSH2_MSG_KEXDH_INITreceivedSSH20:signaturelength143SSH2:kex_derive_keyscompleteSSH20:newkeys:mode1SSH20:SSH2_MSG_NEWKEYSsentSSH20:waitingforSSH2_MSG_NEWKEYSSSH20:newkeys:mode0SSH20:SSH2_MSG_NEWKEYSreceivedSSH(cisco):userauthenmethodis'useAAA',aaaservergroupID=1SSH20:authenticationfailedforcisco1!
---AuthenticationforASAwasnotsuccessfulduetothewrongpassword.
查看活动的SSH会话输入此命令为了验证的SSH会话数量连接(和连接状态)对ASA:ASA(config)#showsshsessionsSIDClientIPVersionModeEncryptionHmacStateUsername0172.
16.
5.
202.
0INaes256-cbcsha1SessionStartedciscoOUTaes256-cbcsha1SessionStartedcisco导航到Monitoring>属性>设备访问>SecureShell塞申斯为了查看有ASDM的会话.
输入socket命令显示asp的表为了验证TCP会话建立:ASA(config)#showasptablesocketProtocolSocketStateLocalAddressForeignAddressSSL02444758LISTEN203.
0.
113.
2:4430.
0.
0.
0:*TCP02448708LISTEN203.
0.
113.
2:220.
0.
0.
0:*SSL02c75298LISTEN172.
16.
5.
10:4430.
0.
0.
0:*TCP02c77c88LISTEN172.
16.
5.
10:220.
0.
0.
0:*TCP02d032d8ESTAB172.
16.
5.
10:22172.
16.
5.
20:52234查看公共RSA密钥输入此命令为了查看RSA密钥的公共部分在安全工具的:ASA(config)#showcryptokeymypubkeyrsaKeypairwasgeneratedat:23:23:59UTCJul222014Keyname:Usage:GeneralPurposeKeyModulusSize(bits):2048Key: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导航对Configuration>属性>证书>密钥对并且单击显示详细信息为了查看与ASDM的RSA密钥.
故障排除此部分提供您能使用为了排除故障您的配置的信息.
从ASA去除RSA密钥在某些情况下,例如,当您升级ASA软件或更改在ASA时的SSH版本,您也许要求去除和再创RSA密钥.
输入此命令为了从ASA删除RSA密钥对:ASA(config)#cryptokeyzeroizersa导航对Configuration>属性>证书>密钥对并且点击删除为了去除与ASDM的RSA密钥.
SSH连接失败您收到在ASA的此错误消息:%ASA-3-315004:FailtoestablishSSHsessionbecauseRSAhostkeyretrievalfailed.
这是出现在SSH客户端计算机的错误消息:Selectedciphertypenotsupportedbyserver.
为了解决此问题,请去除并且再创RSA密钥.
输入此命令为了从ASA删除RSA密钥对:ASA(config)#cryptokeyzeroizersa输入此命令为了生成新密钥:ASA(config)#cryptokeygeneratersamodulus2048
- 密钥telnet命令相关文档
- 命令telnet命令
- 转发telnet命令
- 视图telnet命令
- 协议telnet命令
- 端口telnet命令
- 命令telnet命令
Hostodo独立日提供四款特价年付VPS套餐 最低年付$13.99
前天,还有在"Hostodo商家提供两款大流量美国VPS主机 可选拉斯维加斯和迈阿密"文章中提到有提供两款流量较大的套餐,这里今天看到有发布四款庆祝独立日的七月份的活动,最低年付VPS主机13.99美元,如果有需要年付便宜VPS主机的可以选择商家。目前,Hostodo机房可选拉斯维加斯和迈阿密两个数据中心,且都是基于KVM虚拟+NVMe整列,年付送DirectAdmin授权,需要发工单申请。(如何...
RAKsmart新年钜惠:E3服务器秒杀$30/月起,新上韩国服务器,香港/日本/美国站群服务器,VPS月付$1.99起,GPU服务器,高防服务器_vps香港
RAKsmart发布了新年钜惠活动,即日起到2月28日,商家每天推出限量服务器秒杀,美国服务器每月30美元起,新上了韩国服务器、GPU服务器、香港/日本/美国常规+站群服务器、1-10Gbps不限流量大带宽服务器等大量库存;VPS主机全场提供7折优惠码,同时针对部分特惠套餐无码直购每月仅1.99美元,支持使用PayPal或者支付宝等方式付款,有中英文网页及客服支持。爆款秒杀10台/天可选精品网/大...
轻云互联22元/月,美国硅谷、圣何塞CN2GIA云服务器,香港沙田cn2建站vps仅25元/月
轻云互联怎么样?轻云互联,广州轻云网络科技有限公司旗下品牌,2018年5月成立以来,轻云互联以性价比的价格一直为提供个人,中大小型企业/团队云上解决方案。本次轻云互联送上的是美国圣何塞cn2 vps(免费50G集群防御)及香港沙田cn2 vps(免费10G集群防御)促销活动,促销产品均为cn2直连中国大陆线路、采用kvm虚拟技术架构及静态内存。目前,轻云互联推出美国硅谷、圣何塞CN2GIA云服务器...
telnet命令为你推荐
-
曲目itunes支持ipad支持ipad支持ipad支持ipadtracerouteLinux 下traceroute的工作原理是什么 !ipad连不上wifiiPad 连不上Wifi,显示无互联网连接iphone连不上wifi为什么苹果手机连不上wifi微信都发不出去?win7telnet怎样开启Windows7系统中的Telnet服务用itunes备份iphone怎么从itunes备份恢复