配置管理远程访问
本节介绍如何为 ASDM、Telnet 或 SSH 配置 ASA 访问,以及其他管理参数,例如登录横幅。
配置 SSH 访问
如要确定客户端 IP 地址并定义允许使用 SSH 连接至 ASA 的用户,请执行以下步骤:请参阅以下准则:
-
要访问 ASA 接口以进行 SSH 访问,亦无需允许主机 IP 地址的访问规则。您只需按照本部分配置 SSH。
-
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行 SSH 访问。例如,如果 SSH 主机位于外部接口上,则只能直接向外部接口发起管理连接。此规则的唯一例外是通过 VPN 连接(仅 ASA SSH 协议栈支持)。请参阅配置 VPN 隧道上的管理访问。
-
ASA 允许每个情景/单模式最多有 5 个并发 SSH 连接,在所有情景中最多分为 100 个连接。但是,由于配置命令可能会锁定正在更改的资源,因此您应一次在一个SSH会话中进行更改,以确保正确应用所有更改。
-
默认情况下,ASA 使用 CiscoSSH 堆栈,它基于。您可以改为启用专有 ASA SSH 堆栈。CiscoSSH 支持:
-
FIPS 合规性
-
定期更新,包括来自思科和开源社区的更新
请注意,思科SSH堆栈不支持:
-
通过VPN通过SSH连接到其他接口(管理访问)
-
EDDSA密钥对
-
FIPS模式下的RSA密钥对
如果需要这些功能,则应使用 ASA SSH 堆栈。
CiscoSSH 堆栈的 SCP 功能略有变化:要使用 ASA copy 命令将文件复制到 SCP 服务器或从 SCP 服务器复制文件,您必须使用 ssh 命令在 ASA 上为 SCP 服务器子网/主机启用 SSH 访问。
-
-
不再支持 SSH 默认用户名。使用 SSH 以及 pix 或 asa 用户名和登录密码无法再连接至 ASA。要使用 SSH,您必须使用 aaa authenticationsshconsoleLOCAL 命令配置 AAA 身份验证;然后通过输入 username 命令定义本地用户。如果要使用 AAA 服务器而不是本地数据库进行身份验证,建议也将本地身份验证配置为备用方法。
-
仅支持 SSH 版本 2。
开始之前
-
在多情景模式下,请在情景执行空间中完成本程序。要从系统配置切换至情景配置,请输入 changeto context name 。
过程
|
步骤 1 |
(可选) 使用 ASA SSH 堆栈而不是默认 CiscoSSH 堆栈。 no ssh stack ciscossh 要返回到 CiscoSSH 堆栈,请使用 ssh stack ciscossh 。 |
|
步骤 2 |
生成 SSH 必需的密钥对(仅适用于物理 ASA)。 对于 ASA virtual,会在部署后自动创建密钥对。ASA virtual 仅支持 RSA 密钥。 |
|
步骤 3 |
将密钥保存到永久性闪存中。 write memory 示例: |
|
步骤 4 |
在本地数据库中创建可用于 SSH 访问的用户。您也可以使用 AAA 服务器进行用户访问,但建议使用本地用户名。 username name [password password] privilege level 示例:默认情况下,特权级别为 2;输入介于 0 和 15 之间的级别,其中 15 具有所有特权。如果要强制用户使用公共密钥身份验证而不是密码身份验证 (ssh authentication ),您可能需要不使用密码创建用户。若您在 username 命令中配置公钥身份验证以及密码,则如果您在此程序中明确配置 AAA 身份验证,用户可使用任一种方法 登录。注意:请勿使用 username 命令 nopassword 选项,;nopassword 选项允许输入任何密码,而不是无密码。 |
|
步骤 5 |
(可选) 允许用户使用公钥身份验证代替/以及密码身份验证,并在 ASA 上输入公钥: username 名称 attributes ssh authentication {pkf | publickey key} 示例:对于本地 username ,您可以启用公钥身份验证代替/以及密码身份验证。您可以使用任何可生成 ssh-rsa、ecdsa-sha2-nistp 或 ssh-ed25519 原始密钥(不带证书)的 SSH 密钥生成软件(如 ssh keygen)生成公钥/私钥对。在 ASA 上输入该公钥。然后,SSH 客户端使用私钥(以及用于创建密钥对的口令)连接至 ASA。 对于 pkf 密钥,系统将提示您粘贴 PKF 格式的密钥,最长 4096 位。此格式用于由于过长而无法以 Base64 格式内嵌粘贴的密钥。例如,可以使用 ssh keygen 生成 4096 位的密钥,然后将其转换为 PKF,并使用 pkf 关键字作为密钥提示。注意:您可以将 pkf 选项与故障转移一起使用,但 PKF 密钥不会自动复制到备用系统。您必须输入 write standby 命令才能同步 PKF 密钥。 对于密钥,密钥是Base64编码的公钥。publickey 您可以使用任何可生成 ssh-rsa、ecdsa-sha2-nistp 或 ssh-ed25519 原始密钥(不带证书)的 SSH 密钥生成软件(如 ssh keygen)生成密钥对。 |
|
步骤 6 |
(对于密码访问)启用 SSH 访问的本地(或 AAA 服务器)身份验证: aaa authentication ssh console {LOCAL | server_group [LOCAL]} 示例:对于使用 ssh authentication 命令的用户名,此命令不影响本地公钥身份验证。ASA 隐式地使用本地数据库进行公钥身份验证。此命令仅影响具有密码的用户名。如果要允许本地用户使用公钥认证或密码,则需要使用此命令显式地配置本地身份验证以允许密码访问。 |
|
步骤 7 |
确定 ASA 从其接受每个地址或子网的连接的 IP 地址,以及可在其上使用 SSH 的接口。 ssh source_IP_address mask source_interface
与 Telnet 不同,您可以在最低安全级别的接口上使用 SSH。 示例: |
|
步骤 8 |
(可选) 设置在 ASA 断开 SSH 会话之前,会话可空闲的持续时间。 ssh timeout 分钟 示例:设置超时时间,范围为 1 到 60 分钟。默认值为 5 分钟。在大多数情况下,默认持续时间都太短,应增加为直到完成所有前期测试和故障排除所需的时间。 |
|
步骤 9 |
(可选) 启用安全复制 (SCP) 服务器。 ssh scopy enable SCP 服务器没有目录支持。缺少目录支持会限制远程客户端访问 ASA 内部文件。 SCP 服务器不支持横幅或通配符。 |
|
步骤 10 |
(可选) 配置 SSH 密码加密算法: ssh cipher encryption {all | fips | high | low | medium | custom colon-delimited_list_of_encryption_ciphers} 示例:默认值为 medium 。密码按其列出的顺序使用。对于预定义列表,从最高安全级别到最低安全级别列出。
|
|
步骤 11 |
(可选) 配置 SSH 密码完整性算法: {| | | | | | | | |冒号分隔的list_of_integrity_ciphers} ssh cipher integrityallfipshighlowmediumcustom 示例:默认值为 high 。
|
|
步骤 12 |
(可选) (Admin context only) - 设置 Diffie-Hellman (DH) 密钥交换模式: ssh key-exchange group {curve25519-sha256 | dh-group14-sha1 | dh-group14-sha256 | ecdh-sha2-nistp256} 示例:默认为 dh-group14-sha256 DH 密钥交换提供无法由任何一方单独确定的共享密钥。密钥交换与签名和主机密钥配合使用,以提供主机身份验证。此密钥交换方法提供显式服务器身份验证。有关使用 DH 密钥交换方法的详细信息,请参阅 RFC 4253。您只能在管理情景中设置密钥交换;此值供所有情景使用。 |
示例
以下示例展示如何使用 PKF 格式的密钥进行身份验证:
ciscoasa(config)# crypto key generate eddsa edwards-curve ed25519
ciscoasa(config)# write memory
ciscoasa(config)# username dean password examplepassword1 privilege 15
ciscoasa(config)# username dean attributes
ciscoasa(config-username)# ssh authentication pkf
Enter an SSH public key formatted file.
End with the word "quit" on a line by itself:
---- BEGIN SSH2 PUBLIC KEY ----
Comment: "256-bit ED25519, converted by dean@dwinchester-mac from "
AAAAC3NzaC1lZDI1NTE5AAAAIDmIeTNfEOnuH0094p1MKX80fW2O216g4trnf7gwWe5Q
---- END SSH2 PUBLIC KEY ----
quit
INFO: Import of an SSH public key formatted file SUCCEEDED.
ciscoasa(config)#
以下示例将在 Linux 或 Macintosh 系统上为 SSH 生成一个共享密钥,并将其导入 ASA:
-
在计算机上生成 的 EdDSA 公钥和私钥:
dwinchester-mac:~ dean$ ssh-keygen -t ed25519 Generating public/private ed25519 key pair. Enter file in which to save the key (/Users/dean/.ssh/id_ed25519): Enter passphrase (empty for no passphrase): key-pa$$phrase Enter same passphrase again: key-pa$$phrase Your identification has been saved in /Users/dean/.ssh/id_ed25519. Your public key has been saved in /Users/dean/.ssh/id_ed25519.pub. The key fingerprint is: SHA256:ZHOjfJa3DpZG+qPAp9A5PyCEY0+Vzo2rkGHJpplpw8Q dean@dwinchester-mac The key's randomart image is: +--[ED25519 256]--+ | . | | o | |. . + o+ o | |.E+ o ++.+ o | |B=.= .S = . | |** ooo. = o . | |.....o*.o = . | | o .. *.+.o | | . . oo... | +----[SHA256]-----+ dwinchester-mac:~ dean$ -
将密钥转换为 PKF 格式:
dwinchester-mac:~ dean$ cd .ssh dwinchester-mac:.ssh dean$ ssh-keygen -e -f id_ed25519.pub ---- BEGIN SSH2 PUBLIC KEY ---- Comment: "256-bit ED25519, converted by dean@dwinchester-mac from " AAAAC3NzaC1lZDI1NTE5AAAAIDmIeTNfEOnuH0094p1MKX80fW2O216g4trnf7gwWe5Q ---- END SSH2 PUBLIC KEY ---- dwinchester-mac:.ssh dean$ -
将密钥复制到剪贴板。
-
在 ASDM 中,依次选择 ,选择用户名,然后点击编辑。点击 Public Key Using PKF 并将密钥粘贴到窗口中:
-
验证用户是否可以通过 SSH 连接到 ASA。对于密码,请输入您在创建密钥对时指定的 SSH 密钥密码。
dwinchester-mac:.ssh dean$ ssh dean@10.89.5.26 The authenticity of host '10.89.5.26 (10.89.5.26)' can't be established. ED25519 key fingerprint is SHA256:6d1g2fe2Ovnh0GHJ5aag7GxZ68h6TD6txDy2vEwIeYE. Are you sure you want to continue connecting (yes/no/[fingerprint])? yes Warning: Permanently added '10.89.5.26' (ED25519) to the list of known hosts. dean@10.89.5.26's password: key-pa$$phrase User dean logged in to asa Logins over the last 5 days: 2. Last login: 18:18:13 UTC Jan 20 2021 from 10.19.41.227 Failed logins since the last login: 0. Type help or '?' for a list of available commands. asa>
以下示例显示与 ASA 的 SCP 会话。从外部主机上的客户端执行 SCP 文件传输。例如,在 Linux 中输入以下命令:
scp -v -pw password [path/]source_filename username @asa_address :{disk0|disk1}:/[path/]dest_filename
-v 表示详细,如果您未指定 -pw,则会提示您输入密码。
配置 Telnet 访问
要识别允许使用 Telnet 连接至 ASA 的客户端 IP 地址,请执行以下步骤。请参阅以下准则:
-
如要访问 ASA 接口进行 Telnet 访问,也不需要允许主机 IP 地址的访问规则,您只需根据本部分配置 Telnet 访问。
-
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行 Telnet 访问。例如,如果 Telnet 主机位于外部接口上,则只能发起直接到外部接口的 Telnet 连接。此规则的唯一例外是通过 VPN 连接。请参阅配置 VPN 隧道上的管理访问。
-
除非使用 VPN 隧道中的 Telnet,否则无法使用 Telnet 访问最低安全级别的接口。
-
每个情景/单模式最多 5 个并发 Telnet 连接,在所有情景中最多分为 100 个连接。
开始之前
-
在多情景模式下,请在情景执行空间中完成本程序。要从系统配置切换至情景配置,请输入 changeto context name 。
-
要使用 Telnet 访问 ASA CLI,请输入通过 password 命令设置的登录密码 。使用 Telnet 前必须手动设置该密码。
过程
|
步骤 1 |
识别 ASA 为位于特定接口的每个地址或子网接收连接的 IP 地址。
如果只有一个接口,只要接口的安全级别为 100,您就可以配置 Telnet 以访问该接口。 示例: |
|
步骤 2 |
设置 ASA 与 Telnet 会话断开连接之前,该会话可以持续空闲多长时间。 telnet timeout 分钟 示例:设置超时时间,范围为 1 到 1440 分钟。默认值为 5 分钟。在大多数情况下,默认持续时间都太短,应增加为直到完成所有前期测试和故障排除所需的时间。 |
示例
下列显示如何让一台内部接口上的地址为 192.168.1.2 的主机访问 ASA:
ciscoasa(config)# telnet 192.168.1.2 255.255.255.255 inside
下例显示如何允许 192.168.3.0 网络上的所有用户在内部接口上访问 ASA:
ciscoasa(config)# telnet 192.168.3.0. 255.255.255.255 inside
配置用于 ASDM 的 HTTPS 访问、其他客户端
如要使用 ASDM 或 CSM 等其他 HTTPS 客户端,则需要启用 HTTPS 服务器,并允许至 ASA 的 HTTPS 连接。HTTPS 访问已作为出厂默认配置的一部分启用。如要配置 HTTPS 访问,请执行以下步骤。请参阅以下准则:
-
要访问 ASA 接口以进行 HTTPS 访问,亦无需允许主机 IP 地址的访问规则。您只需按照本部分配置 HTTPS。但是,如果您配置 HTTP 重定向以将 HTTP 连接自动重定向至 HTTPS,则必须启用允许 HTTP 的访问规则;否则,该接口无法侦听 HTTP 端口。
-
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行管理访问。例如,如果管理主机位于外部接口上,则只能直接向外部接口发起管理连接。此规则的唯一例外是通过 VPN 连接。请参阅配置 VPN 隧道上的管理访问。
-
在单情景模式下,最多可以有 5 个 ASDM 并发会话。在多情景模式下,每个情景最多 5 个并发 ASDM 会话,在所有情景中最多分为 200 个 ASDM 实例。
ASDM 会话使用两个 HTTPS 连接:一个用于监控(始终存在),另一个用于进行配置更改(仅当进行更改时才存在)。例如,多情景模式系统限制为 200 个 ASDM 会话表示 HTTPS 会话数限制为 400。
-
ASA 允许在单情景模式或每个情景(如果可用)中最多允许 6 个并发非 ASDM HTTPS 会话,所有情景中最多允许 100 个 HTTPS 会话。
-
如果在同一接口上同时启用 SSL (webvpn > 启用 接口) 和 HTTPS 访问,则可以从 https://ip_address 访问 Secure Client ,从 https://ip_address/admin访问端口 443。如果还启用了 aaa 身份验证 http 控制台,则必须为 ASDM 访问指定其他端口。
开始之前
-
在多情景模式下,请在情景执行空间中完成本程序。要从系统配置切换至情景配置,请输入 changeto context name 。
过程
|
步骤 1 |
识别 ASA 为位于特定接口的每个地址或子网接收 HTTPS 连接的 IP 地址。 http source_IP_address mask source_interface
示例: |
|
步骤 2 |
启用 HTTPS 服务器。 http server enable [port] 示例:默认情况下,端口为 443。如果更改端口号,请务必将其包括在 ASDM 访问 URL 中。例如,如果将端口号更改为 444,请输入以下 URL: https://10.1.1.1:444 |
|
步骤 3 |
允许基于非浏览器的 HTTPS 客户端访问 ASA 上的 HTTPS 服务。默认情况下,允许 ASDM、CSM 和 REST API。 http server basic-auth-client user_agent
使用单独的命令输入每个客户端字符串。 许多专业客户端(例如,python 库、curl 和 wget)不支持跨站请求伪造 (CSRF) 基于令牌的身份验证,因此,您需要特别允许这些客户端使用 ASA 基本身份验证方法。出于安全考虑,您应该只允许所需的客户端。 示例: |
|
步骤 4 |
(可选) 设置连接和会话超时。 http server idle-timeout分钟 http server session-timeout分钟 http connection idle-timeout秒
示例: |
示例
以下示例显示如何启用 HTTPS 服务器并使内部接口上地址为 192.168.1.2 的主机访问 ASDM:
ciscoasa(config)# http server enable
ciscoasa(config)# http 192.168.1.2 255.255.255.255 inside
以下示例显示如何使 192.168.3.0/24 网络上的所有用户可以访问内部接口上的 ASDM:
ciscoasa(config)# http 192.168.3.0 255.255.255.0 inside
为 ASDM 访问或无客户端 SSL VPN 配置 HTTP 重定向
您必须使用 HTTPS 连接至使用 ASDM 或无客户端 SSL VPN 的 ASA。为了方便起见,可以将 HTTP 管理连接重定向至 HTTPS。例如,通过重定向 HTTP,输入 http://10.1.8.4/admin/ 或 https://10.1.8.4/admin/ 均可访问位于该 HTTPS 地址的 ASDM 启动页面。
您可以重定向 IPv4 和 IPv6 流量。
开始之前
通常,您无需允许主机 IP 地址的访问规则。但是,对于 HTTP 重定向,您必须启用允许 HTTP 的访问规则;否则,该接口无法侦听 HTTP 端口。
过程
|
启用 HTTP 重定向: http redirect interface_name [port] 示例:port 确定接口从其重定向 HTTP 连接的端口。默认值为 80。 |
配置 VPN 隧道上的管理访问
如果 VPN 隧道在一个接口上终止,但是您需要通过访问不同的接口来管理 ASA,则必须将该接口标识为管理访问接口。例如,如果从外部接口进入 ASA,通过此功能可以使用 ASDM、SSH、 或 Telnet 连接到内部接口;或者,当从外部接口进入时,可以 Ping 内部接口。
 注 |
如果使用 CiscoSSH 堆栈(默认设置),则 SSH 不支持此功能。 |
注 |
SNMP 不支持此功能。 对于基于 VPN 的 SNMP,我们建议在环回接口上启用 SNMP。您无需启用管理访问功能即可在环回接口上使用 SNMP。环回接口也适用于 SSH。 |
除了进入 ASA 时所经由的接口以外,不支持对其他接口进行 VPN 访问。例如,如果 VPN 访问位于外部接口上,则只能直接向外部接口发起连接。应在 ASA 的可直接访问的接口上启用 VPN,并使用域名解析,以便您不必记住多个地址。
通过以下类型的 VPN 隧道可以实现管理访问: IPsec 客户端、IPsec 站点间的简单 VPN 和 Secure Client SSL VPN 客户端。
开始之前
管理专用接口不支持此功能。
过程
|
指定从另一个接口进入 ASA 时要访问的管理接口的名称。 management-access management_interface 对于 Easy VPN 和站点间隧道,可以指定命名 BVI(在路由模式下)。 示例: |
在 Firepower 2100 平台模式数据接口上配置对 FXOS 的管理访问
在平台模式下,如果要从数据接口管理 Firepower 2100 上的 FXOS,可以配置 SSH、HTTPS 和 SNMP 访问。如果要远程管理设备,但又要保持管理 1/1(这是访问 FXOS 的本机方式)位于独立网络中,则此功能非常有用。如果启用此功能,则仅可以继续使用管理 1/1 进行本地访问。但是,您不能在使用此功能时允许对或通过 FXOS 的管理 1/1 进行远程访问。此功能需要通过背板将流量转发到 ASA 数据接口(默认),并且您只能使用内部路径(默认下)指定一个 FXOS 管理网关。
ASA 使用非标准端口进行 FXOS 访问;标准端口将被保留以供同一接口上的 ASA 使用。当 ASA 将流量转发到 FXOS 时,它会针对每个协议将非标准目标端口转换为 FXOS 端口(不会更改 FXOS 中的 HTTPS 端口)。数据包目标 IP 地址(即 ASA 接口 IP 地址)也会被转换为内部地址,供 FXOS 使用。源地址保持不变。为了返回流量,ASA 使用其数据路由表来确定正确的出口接口。当您访问管理应用的 ASA 数据 IP 地址时,必须使用 FXOS 用户名登录;ASA 用户名只适用于 ASA 管理访问。
您还可以在 ASA 数据接口上启用 FXOS 管理流量 启动 ,这是 SNMP 陷阱或进行 NTP 和 DNS 服务器等所需的。默认情况下,将为 ASA 外部接口启用 FXOS 管理流量启动,以进行 DNS 和 NTP 服务器通信(这是进行智能软件许可通信所必需的)。
开始之前
-
仅限单一情景模式。
-
不包括 ASA 仅管理接口。
-
不能直接通过 VPN 隧道连接至 ASA 数据接口,也不能直接访问 FXOS。作为 SSH 的一种变通方法,可以通过 VPN 连接到 ASA,访问 ASA CLI,然后使用 connect fxos 命令访问 FXOS CLI。请注意,SSH、HTTPS 和 SNMPv3 已经加密/可以加密,因此直接连接到数据接口是安全的。
-
确保 FXOS 网关已设置为将流量转发到 ASA 数据接口(默认值)。有关设置网关的更多信息,请参阅《入门指南》。
过程
|
步骤 1 |
启用 FXOS 远程管理。 fxos {https | ssh | snmp} permit {ipv4_address netmask | ipv6_address/prefix_length} interface_name 示例: |
|
步骤 2 |
(可选) 更改服务的默认端口。 fxos {https | ssh | snmp} port port 请参阅以下默认值:
示例: |
|
步骤 3 |
允许 FXOS 从 ASA 接口启动管理连接。 ip-client interface_name 默认情况下,外部接口处于启用状态。 示例: |
|
步骤 4 |
在管理 1/1 上连接到 机箱管理器 (默认情况下网址为 https://192.168.45.45,用户名为 admin,密码为 Admin123)。 |
|
步骤 5 |
点击平台设置 (Platform Settings) 选项卡,然后启用 SSH、HTTPS 或 SNMP。 默认情况下,SSH 和 HTTPS 处于启用状态。 |
|
步骤 6 |
将平台设置 (Platform Settings) 选项卡上的访问列表 (Access List) 配置为允许您的管理地址。默认情况下,SSH 和 HTTPS 只允许管理 1/1 192.168.45.0 网络。您需要允许在 ASA 上的 FXOS 远程管理 (FXOS Remote Management) 配置中指定的任何地址。 |
更改控制台超时
控制台超时设置连接可保持处于特权 EXEC 模式下或配置模式下的时间;当达到超时时间后,会话将进入用户 EXEC 模式。默认情况下,会话不会超时。此设置不会影响可与控制台端口保持连接的时间,该连接永不超时。
过程
|
指定授权会话结束后的空闲时间(0-60,以分钟为单位)。 console timeout number 示例:默认超时为 0,表示会话不会超时。 |
自定义 CLI 提示符
利用为提示符添加信息这项功能,可以大体了解在您有多个模块时登录哪一台 ASA。故障转移起价你,如果两台 ASA 具有相同的主机名,则此功能非常有用。
在多情景模式中,您可以在登录到系统执行空间或管理情景时查看扩展的提示符。在非管理情景中,您仅可看到默认提示符,即主机名和情景名称。
默认情况下,提示符显示 ASA 的主机名。在多情景模式下,提示符还显示情景名称。在 CLI 提示符中可以显示以下项目:
|
cluster-unit |
显示集群设备名称。集群中的每台设备都有一个唯一的名称。 |
|
context |
(仅多情景模式)显示当前情景的名称。 |
|
domain |
显示域名。 |
|
hostname |
显示主机名。 |
|
priority |
显示故障转移优先级 pri(主要)或 sec(辅助)。 |
|
state |
显示设备的流量传递状态或角色。 对于故障转移,会面向 state 关键字显示以下值:
对于集群,会显示控制和数据的值。 |
过程
|
通过输入以下命令自定义 CLI 提示符: 示例:输入关键字的顺序确定提示符中各元素的顺序(各元素以斜线 (/) 分隔)。 |
配置登录横幅
您可以配置在用户连接至 ASA 时、在用户登录之前或在用户进入特权 EXEC 模式之前将显示的消息。
开始之前
-
从安全角度来看,重要的是横幅阻止未经授权的访问。请勿使用“欢迎”或“请”等措辞,因为它们像是在邀请入侵者。以下横幅为未经授权的访问设置正确的语调:
You have logged in to a secure device. If you are not authorized to access this device, log out immediately or risk possible criminal consequences. -
在添加横幅后,如果有以下情况,可能会关闭至 ASA 的 Telnet 或 SSH 会话:
-
没有足够的系统内存可用来处理横幅消息。
-
在尝试显示横幅消息时发生 TCP 写入错误。
-
-
有关横幅消息的准则,请参阅 RFC 2196。
过程
|
添加在以下三个时间之一要显示的横幅:在用户首次连接时 (message-of-the-day (motd)),在用户登录时 (login),以及在用户访问特权 EXEC 模式时 (exec)。 banner {exec | login | motd} text 示例:当用户连接至 ASA 时,系统首先显示 message-of-the-day 横幅,然后显示 login 横幅和提示符。在用户成功登录 ASA 后,系统将显示 exec 横幅。 如要添加一行以上,请将banner 命令放在每行之前。 对于横幅文本:
|
示例
以下示例显示如何添加 message-of-the-day 横幅:
ciscoasa(config)# banner motd Only authorized access is allowed to $(hostname).
ciscoasa(config)# banner motd Contact me at admin@example.com for any issues.
设置管理会话配额
可以在 ASA 上建立允许的最大同时 ASDM、SSH 和 Telnet 会话数量。如果达到最大值,则不允许其他会话,并生成系统日志消息。如要防止系统锁定,则管理会话配额机制无法阻止控制台会话。
注 |
在多情景模式下,如果最大 ASDM 会话数固定为 5,则无法配置会话数。 |
注 |
如果您还为最大管理会话(SSH等)的每个情景设置资源限制,则将使用较低的值。 |
开始之前
在多情景模式下,请在情景执行空间中完成本程序。要从系统切换至情景配置,请输入 changeto context名称 命令。
过程
|
步骤 1 |
请输入以下命令: quota management-session [ssh | telnet | http | user] number
示例: |
|
步骤 2 |
查看当前正在使用的会话。 show quota management-session [ssh | telnet | http | user] 示例: |
反馈