轻松配置Cisco PIX防火墙实现SSH访问

　　为了配置SSH来访问PIX，我们需要完成两组独立服务。

　　·配置PIX来接受SSH连接。

　　·配制我们的SSH客户端来连接到PIX。

　　1.下边开始配置PIX来接受SSH连接

　　pixfirewall(config)#hostname21vianet

　　21vianet(config)#domain-name21vianet.com

　　为PIX分配主机名和域名。要想产生RSA密钥集，这是必需的。

　　21vianet(config)#cageneratersakey2048

　　cazeroizersa清空以前配置

　　产生一对RSA密钥，并且存到FLASH里。

　　21vianet(config)#shcamypubkeyrsa

　　查看刚刚产生的RSA公钥。

　　21vianet(config)#casaveall

　　产生这些密钥后，我们必须要把它存到FLASH中，如果这步指定失败，那么下次重启后重新加载时，密钥会被删除。

　　21vianet(config)#ssh211.99.223.50255.255.255.255outside

　　那些主机将允许使用SSH来访问PIX防火墙。

　　21vianet(config)#sshtimeout60

　　设置超时时间。

　　21vianet(config)#passwordcisco

　　设定TELNET口令（这个口令将是我们在客户端进入PIX的口令）

　　以上PIX防火墙端配置完毕。

　　2.以下是配置SSH客户端来连接到PIX

　　我们拿SecureCRT4.1为例子

　　选择协议：ssh1（因为现在CISCO设备不支持SSH2）

　　端口号：22

　　hostname：防火墙外口IP

　　username：pix（一定要是pix）

　　primary：password

　　以上步骤完成，那么我们开始连接到PIX。

　　点击connect以后，会让输入密码，这时候你输入刚才我们设定的cisco就可以连接上PIX了。

　　配置PIXSSH

　　我们可以使用以下命令来配置本地SSH（非AAAAuthentication方式）：

　　hostnamegoss-d3-pix515b

　　domain-namertp.cisco.com

　　cagenrsakey1024

　　ssh0.0.0.00.0.0.0outside

　　sshtimeout60

　　passwdcisco

　　wrmem

　　以上命令解释如下：

　　第一句配置主机名称（可选）。

　　第二句配置域名，这一句必须有。

　　cagenrsakey1024，配置rsakey，如果使用非AAAAuthentication方式的ssh，这条命令不能少。

　　ssh0.0.0.00.0.0.0outside，配置可以通过外部接口访问到pix的地址范围，实际使用中要注意地址范围，够用即可，不要开的太大，sshtimeout60,配置ssh延时，需要注意的是不同版本的pix，timeout的是单位是不一样的，注意区分minute和second,passwdcisco配置登陆pix使用的口令为cisco，wrmem保存配置。

　　需要注意的是wrmem不能保存关于rsakey的配置，可以使用casaveall来保存关于rsakey的配置。

　　通过这种方式，我们不用为每一个需要登陆到pix的用户配置用户名，使用SSH客户端工具登陆pix的时候，默认的用户名为pix。