在一些防火墙的使用中。我们可以进行对Telnet控制台的配置,来完成一些特殊的性能。这里我们就来详细介绍一下Telnet控制台来完成PIX防火墙强提供的工具及特性,以监控和配置系统,并监控网络活动。它包括以下部分:
使用Telnet进行远程系统管理(Using Telnet for Remote System Management)
配置Telnet控制台访问(Configuring Telnet Console Access)
按照以下步骤来配置Telnet控制台访问:
#p#
测试Telnet访问(Testing Telnet Access)
执行以下步骤来测试Telnet访问:
保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)
概述(Overview)
如果您正使用Cisco Secure Policy Manager 2.0或更高版本,本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中,PIX防火墙的外部接口的IP地址是168.20.1.5,Cisco Secure VPN Client的IP地址来自于虚拟地址池,为10.1.2.0。
#p#
使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)
本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。
使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)
本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密,则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中,PIX防火墙外部接口的IP地址为168.20.1.5,Cisco VPN 3000 Client的IP地址来自于虚拟地址池,为10.1.2.0。
定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。
telnet 10.1.2.0 255.255.255.0 outside
Trace Channel特性(Trace Channel Feature)
debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。
如果一个debug命令不使用Trace Channel,每个会话都独立运作,意味着任意从会话中启动的命令只出现在该会话中。在默认状态下,不使用Trace Channel的会话的输出是禁用的。
Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话,还是您只使用PIX防火墙串行控制台:
如果您仅使用PIX防火墙串行控制台,所有debug命令都显示在串行控制台上。
如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台,那么无论您在何处输入debug命令,输出均显示在Telnet控制台会话上。
如果您有2个或更多Telnet控制台会话,则第一个会话是Trace Channel。如果那一会话关闭,那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。
