3.2 思科ASA：配置远程telnet管理（最低安全级别的借口不支持telnet）

3.2 思科ASA：配置远程telnet管理（最低安全级别的借口不支持telnet）

telnet密码用来认证通过telnet或SSH进行连接的远程会话。在Cisco ASA Software9.0(2)版之前，默认的telnet密码是cisco。

而对于9.0(2)之后版本的操作系统，管理员则必须使用命令password来定义一个telnet密码。

此外，从8.4(2)开始的操作系统版本，并没有为SSH会话默认设置用户名或密码。管理员必须配置aaa authentication ssh console命令来启用AAA认证。

interface Management0/0

   nameif manager

   security-level 90

   ip address 10.12.3.3 255.255.0.0

interface GigabitEthernet0/2

 shutdown

 no nameif

 no security-level

 no ip address

ciscoasa(config)# passwd 12345678    //配置远程登录密码（在使用Telnet或SSH时需要输入的密码）

ciscoasa(config)# enable password 12345678   //创建特权模式密码

ciscoasa(config)# telnet 0.0.0.0 0.0.0.0 manager   //开启telnet服务器允许manager接口方向的任意网段telnet到防火墙

ciscoasa(config)# telnet timeout 1440  //配置超时时间为24小时，配置值范围为1到1440分钟，默认为5分钟。

configure mode commands/options:

  <1-1440>  Idle time in minutes after which a telnet session will be closed;

                     default is 5 minutes

  <cr>

  ASA(config)# enable ?

configure mode commands/options:

  password  Configure password for the enable command

ASA(config)# passwd cisco

ASA(config)# ?

 passwd                        Change Telnet console access password

测试：

原因：最低安全级别的借口不支持telnet

假如inside 安全级别是100，DMZ 50, outside 0     outside接口不支持telnet

假如inside 100 ，dmz 50 ，outside 51     dmz不支持telnet

interface GigabitEthernet0/2

 shutdown

 nameif dmz

 security-level 50

 no ip address

interface GigabitEthernet0/2

 shutdown

 nameif dmz

 security-level 50

 ip address 192.168.2.254 255.255.255.0

说明：把ip地址配置上去就可以远程telnet了。

测试非直连网段的远程：成功

interface GigabitEthernet0/3

 nameif b

 security-level 85

 ip address 192.168.3.254 255.255.255.0

telnet 0.0.0.0 0.0.0.0 b

ciscoasa(config)# route b 10.1.1.0 255.255.255.0 192.168.3.100  //配置静态路由

在PC3上telnet远程ASA防火墙测试：成功

思科Cisco ASA防火墙（列表、list、全）asalist、防火墙list
http://www.zh-cjh.com/wenzhangguilei/2594.html
文章归类、所有文章列表、LISTLIST
http://www.zh-cjh.com/wangzhangonggao/2195.html