配置PIX SSH

剑心通明

为了配置SSH来访问PIX，我们需要完成两组独立服务。
·配置PIX来接受SSH连接。
·配制我们的SSH客户端来连接到PIX。
1.下边开始配置PIX来接受SSH连接
pixfirewall(config)#hostname 21vianet
21vianet (config)#domain-name 21vianet.com
为PIX分配主机名和域名。要想产生RSA密钥集，这是必需的。
21vianet (config)#ca generate rsa key 2048
ca zeroize rsa 清空以前配置
产生一对RSA密钥，并且存到FLASH里。
21vianet (config)#sh ca mypubkey rsa
查看刚刚产生的RSA公钥。
21vianet (config)#ca save all
产生这些密钥后，我们必须要把它存到FLASH中，如果这步指定失败，那么下次重启后重新加载时，密钥会被删除。
21vianet (config)#ssh 211.99.223.50 255.255.255.255 outside
那些主机将允许使用SSH来访问PIX防火墙。
21vianet (config)#ssh timeout 60
设置超时时间。
21vianet (config)#password  cisco
设定TELNET口令（这个口令将是我们在客户端进入PIX的口令）
以上PIX防火墙端配置完毕。
2.以下是配置SSH客户端来连接到PIX
我们拿SecureCRT 4.1为例子
选择协议：ssh1  （因为现在CISCO设备不支持SSH2）
端口号：  22
hostname：防火墙外口IP
username：pix  （一定要是pix）
primary ：password
以上步骤完成，那么我们开始连接到PIX。
点击connect以后，会让输入密码，这时候你输入刚才我们设定的cisco就可以连接上PIX了。
前几天玩PIX遇到一个小麻烦，想通过SSH的方式登陆到PIX，对PIX进行调试，可是怎么也弄不好SSH的设置，后来经过几位兄弟的热心帮忙，问题终于解决了，我整理了一下，大家一起分享好了。
配置PIX SSH
我们可以使用以下命令来配置本地SSH（非AAA Authentication方式）：
hostname goss-d3-pix515b
domain-name rtp.cisco.com
ca gen rsa key 1024
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
passwd cisco
wr mem
以上命令解释如下：
第一句配置主机名称（可选）。
第二句配置域名，这一句必须有。
ca gen rsa key 1024，配置rsa key，如果使用非AAA  Authentication方式的ssh，这条命令不能少。
ssh 0.0.0.0 0.0.0.0 outside，配置可以通过外部接口访问到pix的地址范围，实际使用中要注意地址范围，够用即可，不要开的太大，ssh timeout 60,配置ssh 延时，需要注意的是不同版本的pix，timeout 的是单位是不一样的，注意区分minute 和second,passwd cisco配置登陆pix使用的口令为cisco，wr mem保存配置。
需要注意的是wr mem不能保存关于rsa key的配置，可以使用 ca save all来保存关于rsa key的配置。
通过这种方式，我们不用为每一个需要登陆到pix的用户配置用户名，使用SSH客户端工具登陆pix的时候，默认的用户名为pix。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/4206/showart_697726.html