CISCO PIX防火墙管理手册

　　PIX防火墙系统管理

　　本文介绍了如何配置并使用PIX防火墙提供的工具及特性，以监控和配置系统，并监控网络活动。它包括以下部分：

　　使用Telnet进行远程系统管理（Using Telnet for Remote System Management）

　　IDS系统日志信息（IDS Syslog Messages）

　　使用DHCP（Using DHCP）

　　使用SNMP（Using SNMP）

　　使用SSH（Using SSH）

　　使用Telnet进行远程系统管理（Using Telnet for Remote System Management）

　　.配置Telnet控制台访问（Configuring Telnet Console Access）

　　按照以下步骤来配置Telnet控制台访问：

　　测试Telnet访问（Testing Telnet Access）

　　执行以下步骤来测试Telnet访问：

　　保护外部接口上的Telnet连接 (Securing a Telnet Connection on the Outside Interface)

　　本部分讲述如何保护到PIX防火墙的外部接口的PIX防火墙控制台Telnet连接。它包括以下内容：

　　概述（Overview）

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　概述（Overview）

　　如果您正使用Cisco Secure Policy Manager 2.0或更高版本，本部分也适用于您。本部分的前提是假定您正使用Cisco VPN Client 3.0, Cisco Secure VPN Client 1.1或Cisco VPN 3000 Client 2.5来保护您的Telnet连接。在下一部分的举例中，PIX防火墙的外部接口的IP地址是168.20.1.5，Cisco Secure VPN Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　有关此命令的具体信息，请参见《Cisco PIX防火墙命令参考》中telnet命令页。

　　使用Cisco Secure VPN Client (Using Cisco Secure VPN Client)

　　本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。

　　使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client)

　　本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。

　　定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。

　　telnet 10.1.2.0 255.255.255.0 outside

　　Trace Channel特性（Trace Channel Feature）

　　debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。

　　如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。

　　Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台：

　　如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。

　　如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。

　　如果您有2个或更多Telnet控制台会话，则第一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。