自适应安全设备（ASA）上的TELNET和SSH

先决条件—— 自适应安全设备（ASA） 用户可以通过控制台对设备进行管理访问，也可以使用telnet或SSH进行远程访问。同样，ASA（Adaptive Security Appliance）CLI访问可以通过控制台或使用Telnet或SSH进行，GUI访问可以通过（ASDM-a工具）进行。

1.ASA上的Telnet： Telnet是一种应用层协议，使用TCP端口号23。它用于远程访问设备，但由于安全性较低，使用较少。客户端和服务器之间交换的数据包是明文的。 如果我们想在ASA上配置Telnet，必须遵循3个步骤。

• 启用Telnet服务- 默认情况下，ASA上的登录密码配置为“cisco”。如果我们想改变它，使用命令。

asa(config)#password GeeksforGeeks 

或者使用命令

asa(config)#passwd GeeksforGeeks 

其中Geeksforgeks是我们设置的密码。

• 分配可以启动Telnet连接的IP地址—— 在路由器中，如果我们启用了telnet服务，但没有应用任何ACL，任何IP地址都可以与路由器建立telnet连接，但在ASA中，我们必须分配可以使用ASA telnet服务的IP地址。 可以通过以下命令完成：

asa(config)#telnet  {source_IP_address} {subnet_ask} {source_interface}   

在这里，我们必须首先提到ASA可以接受telnet连接的{source_IP_address}。当然，它可以是一个IP地址，也可以是整个网络。然后是{source_IP_address}的子网掩码。然后，我们必须提到{source_interface}。这是ASA的接口，ASA将通过该接口进行telnet连接。

• 设置telnet超时– 这是ASA终止会话之前telnet会话可以空闲的时间。时间范围为1到2440分钟。默认超时为5分钟。 用于它的命令是：

asa(config)#telnet timeout {minutes} 

限制—— ASA配置了多个接口，不允许从具有最低安全级别的接口进行telnet。

配置示例-

这里是一个小型拓扑结构，其中有三个路由器，即Router1（IP地址-10.1.1.1/24）、Router2（IP地址-10.1.2.1/24），路由器3（IP地址-10.1.3.1/24）连接到ASA（内部接口和安全级别为100的IP地址-10.1.1.2/24，外部接口和安全级别为0的IP地址-10.1.2.2/24，DMZ和安全级别为50的IP地址-10.1.3.2/24）。

在本任务中，我们将分别在Router1（10.1.1.1/24）、Router2（10.1.2.1/24）和Router3（10.1.3.1/24）的所有接口（内部、外部、DMZ）上允许telnet。 假设IP地址已经在所有路由器和ASA上完成。现在，在ASA上为所有路由器的IP地址启用telnet，并以Geeksforgek的身份提供密码。

asa(config)#password GeeksforGeeksasa(config)#telnet 10.1.1.1 255.255.255.255 INSIDEasa(config)#telnet timeout 10asa(config)#telnet 10.1.2.1 255.255.255.255 OUTSIDEasa(config)#telnet timeout 10asa(config)#telnet 10.1.3.1 255.255.255.255 DMZasa(config)#telnet timeout 10

通过使用命令

Router#telnet {ASA_interface_IP_address} 

例如——

Router1#telnet 10.1.1.2

同样，在Router2和Router3上。 现在，在这种情况下，Router1和Router3将能够telnet ASA，但Router2将无法telnet，因为ASA接口（外部）的安全级别最低。

注—— 如果我们想使用ASA的本地数据库，那么首先我们必须通过命令创建一个本地数据库。

asa(config)#username Cisco password GeeksforGeeks 

然后通过命令强制ASA使用本地数据库进行登录。

asa(config)#aaa authentication telnet console LOCAL

请注意，LOCAL是区分大小写的。

2.ASA上的SSH： SSH是一种应用层协议，用于远程访问设备。它使用TCP端口号22，由于数据包经过加密，因此比Telnet更安全。 SSH的配置方式与telnet相同，但命令不同。

要在ASA上启用SSH，有两个步骤：

• 启用SSH服务– 要在ASA上启用SSH，请首先通过命令生成加密密钥。

asa(config)#crypto key generate rsa modulus {modulus_value} 

生成加密密钥后，通过命令在ASA上创建本地数据库。

asa(config)#username cisco password GeeksforGeeks 

其中cisco是用户名，密码是Geeksforgeks。

• 告诉可以在ASA上访问ssh的设备的IP地址—— 就像在Telnet中一样，我们必须允许一些IP地址通过ssh访问ASA。可以通过命令来完成：-

asa(config)#ssh {source_IP_address} {subnet_ask} {source_interface}   

在这里，我们必须首先提到ASA可以接受ssh连接的{source_IP_address}。然后是{source_IP_address}的子网掩码。然后，我们必须提到{source_interface}。它是ASA的接口，ASA将通过该接口期待ssh流量。

• 设置SSH超时– 这是ASA终止会话之前ssh会话可以空闲的时间。时间范围为1到2440分钟。默认超时为5分钟。 用于它的命令是：

asa(config)#ssh timeout {minutes} 

如果我们想使用本地数据库进行ssh登录，那么使用命令

asa(config)#aaa authentication ssh console LOCAL

配置示例-

使用三个路由器的相同拓扑，即路由器1（IP地址-10.1.1.1/24）、路由器2（IP地址-10.1.2.1/24），路由器3（IP地址-10.1.3.1/24）连接到ASA（内部接口和安全级别为100的IP地址-10.1.1.2/24，外部接口和安全级别为0的IP地址-10.1.2.2/24，DMZ和安全级别为50的IP地址-10.1.3.2/24）。

在本任务中，我们将分别在Router1（10.1.1.1/24）和Router3（10.1.3.1/24）的所有接口（内部，DMZ）上允许ssh。 假设IP地址已经在所有路由器和ASA上完成。现在，在ASA上为所有路由器的IP地址启用ssh，并提供用户名Saurabh和密码Geeksforgeks。

asa(config)#crypto key generate rsa modulus 1024asa(config)#username saurabh password GeeksforGeeks asa(config)#aaa authentication ssh console LOCAL asa(config)#ssh 10.1.1.1 255.255.255.255 INSIDEasa(config)#ssh timeout 10asa(config)#ssh 10.1.3.1 255.255.255.255 DMZasa(config)#telnet timeout 10

和SSH，ASA通过使用命令从Router1获得。

Router1#ssh -l saurabh 10.1.1.2 

SSH，ASA通过使用命令从Router2获得。

Router3#ssh -l saurabh 10.1.3.2 

两者都将能够使用ssh ASA，并且ASA没有像telnet那样的限制。