Người viết bài : Tuấn
Tham khảo ebook:
– [Ebook] Cisco ASA All-in-one Next-Generation Firewall, IPS, and VPN Services, 3rd Edition
Sơ đồ:
Mô tả :
Bài lab này sẽ hướng dẫn thực tập một số kỹ năng làm quen với thiết bị firewall asa của cisco. Đầu tiên là chúng ta sẽ tìm hiểu về version của ios. Cấu hình cơ bản như: đặt hostname, cấu hình password, cấu hình ip cho interface trên thiết bị, security-level( cấp độ bảo mật).Cấu hình telnet, ssh cho asa từ xa. Ngoài ra sẽ tiến hành backup ios cho asa, load lại ios khi bị mất, recovery password cho thiết bị firewall asa.
Thực hiện:
Phần 1: kiểm tra Licenses
• Kiểm tra version của thiết bị firewall asa
Kiểm tra:
ciscoasa> show version
Cisco Adaptive Security Appliance Software Version 8.2(2)
Device Manager Version 6.2(5)53
Compiled on Mon 11-Jan-10 14:19 by builders
System image file is "disk0:/asa822-k8.bin"
Config file at boot was "startup-config"
ciscoasa up 49 mins 43 secs
Hardware: ASA5520, 512 MB RAM, CPU Pentium 4 Celeron 2000 MHz
Internal ATA Compact Flash, 256MB
BIOS Flash M50FW080 @ 0xffe00000, 1024KB
Encryption hardware device : Cisco ASA-55x0 on-board accelerator (revision 0x0)
Boot microcode : CN1000-MC-BOOT-2.00
SSL/IKE microcode: CNLite-MC-SSLm-PLUS-2.03
IPSec microcode : CNlite-MC-IPSECm-MAIN-2.04
0: Ext: GigabitEthernet0/0 : address is 0023.5e56.69f8, irq 9
1: Ext: GigabitEthernet0/1 : address is 0023.5e56.69f9, irq 9
2: Ext: GigabitEthernet0/2 : address is 0023.5e56.69fa, irq 9
3: Ext: GigabitEthernet0/3 : address is 0023.5e56.69fb, irq 9
4: Ext: Management0/0 : address is 0023.5e56.69f7, irq 11
5: Int: Not used : irq 11
6: Int: Not used : irq 5
Licensed features for this platform:
Maximum Physical Interfaces : Unlimited
Maximum VLANs : 150
Inside Hosts : Unlimited
Failover : Active/Active
VPN-DES : Enabled
VPN-3DES-AES : Enabled
Security Contexts : 2
GTP/GPRS : Disabled
SSL VPN Peers : 2
Total VPN Peers : 750
Shared License : Disabled
AnyConnect for Mobile : Disabled
AnyConnect for Cisco VPN Phone : Disabled
AnyConnect Essentials : Disabled
Advanced Endpoint Assessment : Disabled
UC Phone Proxy Sessions : 2
Total UC Proxy Sessions : 2
Botnet Traffic Filter : Disabled
This platform has an ASA 5520 VPN Plus license.
Serial Number: JMX1251L0HW
Running Activation Key: 0x8b3be054 0x00f7debf 0xa493250c 0x93f8e088 0x430f0096
Configuration register is 0x1
Configuration last modified by enable_15 at 19:43:37.339 UTC Mon Jul 21 2014
Qua command show version, chúng ta đã thấy được các thông tin về thiết bị asa, bao gồm : ios của asa, hardware asa, các interface vật lí của asa, các đặc điểm đã được active bởi license key, ngày giờ chỉnh sửa cuối cùng của file cấu hình.
[nextpage title=”Cấu hình cơ bản”]
Phần 2: Cấu hình cơ bản
• Đặt hostname cho asa là ASA.
• Cấu hình password cho asa.
• Cấu hình enable interface, cấu hình IP cho interface, name cho interface.
• Cấu hình security-level trên interface.
Cấu hình:
Đầu tiên, ta đặt hostname cho thiết bị:
ciscoasa# configure terminal ciscoasa(config)# hostname ASA
Trên Cisco ASA, câu lệnh “hostname” được sử dụng để đặt tên cho asa. Tên của asa sẽ giúp cho công việc quản lý asa được dễ dàng hơn và hiệu quả hơn.
Để cấu hình password cho asa, chúng ta dùng command:
ASA# configure terminal ASA(config)# enable password ciscoasa // mật khẩu do ta thiết lập
Sử dụng lệnh enable password để thiết lập mật khẩu truy cập cho Privilege mode. Điều này thực sự rất quan trọng vì trong Privilege mode, bạn có thể tạo ra nhiều thay đổi cấu hình của asa nên bạn cần giới hạn chỉ để những người biết được mật khẩu mới có thể đăng nhập vào ASA để cấu hình cho thiết bị.
Tiếp theo, ta sẽ enable interface, ta thực hiện như sau:
ASA# configure terminal ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# no shutdown
Đối với các dòng ASA 5505 và ASA 5510 thì sẽ có 4 cổng fastEthernet (Ethernet0/0 – Ethernet0/3) và một interface quản lí ( management interface): Management0/0.
Trong khi đó đối với các dòng ASA 5520 và ASA 5540 sẽ có 4 cổng Gigabit Ethernet (GigabitEthernet0/0–GigabitEthernet0/3) và một interface quản lí (management interface (Management0/0)).Mặc định các interface sẽ ở trạng thái shutdown, để enable các interface chúng ta sẽ sử dụng lên no shutdown.
Để đặt IP, ta vào trong cổng G0/0 và cấu hình địa chỉ ip là 192.168.1.1/24, ta làm như sau:
ASA# configure terminal ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# ip address 192.168.1.1 255.255.255.0
Địa chỉ IP trên cổng giúp router giao tiếp mạng với các thiết bị khác bằng giao thức truyền tải IP.
Nếu IP trên cổng được cấp bởi 1 dhcp server thì ta có thể làm như sau:
ASA# configure terminal ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# ip address dhcp setroute
Câu lệnh “ip address dhcp setroute” sẽ giúp chúng ta nhận được ip từ dhcp server.
Để cấu hình tên cho cổng, chúng ta sẽ dùng lệnh:
ASA# configure terminal ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# nameif outside
Câu lệnh “nameif” dùng để đặt tên cho interface, tên của interface sẽ dùng để cấu hình các đặc tinh sau này như NAT, PAT, access-list, …..
Tiếp theo chúng ta sẽ cấu hình cấp độ bảo mật ( security-level) cho các interface, ta thực hiện như sau:
ASA# configure terminal ASA(config)# interface GigabitEthernet0/0 ASA(config-if)# security-level 50
ASA cho phép chúng ta đinh nghĩa cấp độ bảo mật trên mỗi interface. Cấp độ bảo mật càng cao, thì độ tin cậy càng lớn và ngược lại. Cấp độ bảo mật có giá trị từ 0 – 100. Mặc định thì vùng outside (vùng nối với nơi ít tin cậy như internet,..) sẽ có security-level là 0 và ngược lại những vùng inside (mạng nội bộ) sẽ có cấp độ bảo mật cao nhất là 100.
Kiểm tra:
Ta kiểm tra địa chỉ IP trên cổng bằng cách sử dụng lệnh “show interface ip brief“.
ASA# show interface ip brief Interface IP-Address OK? Method Status Protocol GigabitEthernet0/0 192.168.1.1 YES manual up up GigabitEthernet0/1 unassigned YES unset administratively down down GigabitEthernet0/2 unassigned YES unset administratively down down GigabitEthernet0/3 unassigned YES unset administratively down down Management0/0 unassigned YES unset administratively down down
Để kiểm tra 1 interface cụ thể, ta sử dụng lệnh “show interface GigabitEthernet0/0” .
ASA# show interface GigabitEthernet0/0 Interface GigabitEthernet0/0 "outside", is up, line protocol is up Hardware is i82546GB rev03, BW 1000 Mbps Auto-Duplex(Full-duplex), Auto-Speed(100 Mbps) MAC address 0013.c480.90ee, MTU 1500 IP address 192.168.1.1, subnet mask 255.255.255.0 79855 packets input, 6345439 bytes, 0 no buffer Received 79692 broadcasts, 0 runts, 0 giants 0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored, 0 abort 75 packets output, 7806 bytes, 0 underruns 0 output errors, 0 collisions 0 late collisions, 0 deferred input queue (curr/max blocks): hardware (0/5) software (0/0) output queue (curr/max blocks): hardware (0/1) software (0/0) Received 79220 VLAN untagged packets, 4869649 bytes Transmitted 75 VLAN untagged packets, 6420 bytes Dropped 14202 VLAN untagged packets
Kiểm tra:
Chúng ta sẽ tiến hành kiểm tra kết nối giữa firewall asa và máy tinh bằng lệnh “ping” .
[nextpage title=”Recovery ios”]
Phần 3: Recovery ios khi asa bị mất cấu hình .
Khi bị mất ios hoặc do một tình huống nào khác mà không thể load vào được ios của asa thì chúng ta có thể dùng ROMMON mode kết hợp với tftp server để load ios cho firewall asa.
• Yêu cầu 1: đặt địa chỉ IP cho asa và tftp server.
• Yêu cầu 2: cài đặt cổng kết nối tới tftp server.
• Yêu cầu 3: chuẩn bị file image sẽ được load vào asa.
Cấu hình:
Đầu tiên chúng ta sẽ vào mode ROMMON và cấu hình các thông số trong cisco asa.
rommon> ADDRESS 192.168.1.1 Invalid or incorrect command. Use 'help' for help. rommon> address 192.168.1.1 rommon> server 192.168.1.2 rommon> interface g0/1 GigabitEthernet0/1 Link is UP MAC Address: 0023.5e56.69f9 rommon> file asa822-k8.bin
Để kiểm tra các lệnh đã cấu hình phái trên, chúng ta dùng lệnh “set” và để bắt đầu tiến trình load ios vào asa thì ta dùng lệnh “tftpnld” .
rommon> set ROMMON Variable Settings: ADDRESS=192.168.1.1 SERVER=192.168.1.2 GATEWAY=0.0.0.0 PORT=GigabitEthernet0/1 VLAN=untagged IMAGE=asa822-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 rommon> tftpdnld ROMMON Variable Settings: ADDRESS=192.168.1.1 SERVER=192.168.1.2 GATEWAY=0.0.0.0 PORT=GigabitEthernet0/1 VLAN=untagged IMAGE=asa822-k8.bin CONFIG= LINKTIMEOUT=20 PKTTIMEOUT=4 RETRY=20 tftp asa822-k8.bin@192.168.1.2 !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Received 16459776 bytes
Lưu ý: Lúc này image vẫn chưa được lưu vào flash, để tiến hành kiểm tra, ta dùng lệnh “show flash” .
ciscoasa# show flash: --#-- --length-- -----date/time------ path 2 4096 Jul 23 2014 21:10:53 log 9 4096 Jul 23 2014 21:11:01 crypto_archive 11 4096 Jul 23 2014 21:11:04 coredumpinfo 12 43 Jul 23 2014 21:11:04 coredumpinfo/coredump.cfg 255582208 bytes total (255537152 bytes free)
Để file image được lưu vào trong flash, chúng ta hãy qua bước số 4, image upgrade ios.
[nextpage title=”Cập nhật Image & Recovery Password”]Phần 4: Cập nhật image cho thiết bị firewall asa
Chúng ta có thể có nhiều cách cập nhật file image mới cho firewall asa thông qua tftp server, ftp server hoặc http … Nhưng ở đây chúng ta sẽ tìm hiểu cách thức cập nhật thông qua tftp server.
• Yêu cầu 1: chuẩn bị image cho tftp server.
• Yêu cầu 2: kiểm tra kết nối giữa cisco asa và tftp server.
Cấu hình:
Đầu tiên chúng ta sẽ kiểm tra flash hiện thời có các file nào và dung lượng còn bao nhiêu thông qua command “show flash”.
ciscoasa# show flash: --#-- --length-- -----date/time------ path 2 4096 Jul 23 2014 21:10:53 log 9 4096 Jul 23 2014 21:11:01 crypto_archive 11 4096 Jul 23 2014 21:11:04 coredumpinfo 12 43 Jul 23 2014 21:11:04 coredumpinfo/coredump.cfg 255582208 bytes total (255537152 bytes free)
Sau kiểm tra flash, chúng ta sẽ tiếp tục tiến hành load image vào thiết bị firewall asa thông qua tftp server.
ciscoasa# copy tftp: flash: Address or name of remote host []? 192.168.1.2 Source filename []?asa822-k8.bin Destination filename []? asa822-k8.bin Accessingtftp://192.168.1.2//asa822-k8.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! Writing file disk0:/asa822-k8.bin... !!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!! 16459776 bytes copied in 20.70 secs (822988 bytes/sec)
Kiểm tra:
Để kiểm tra file image đã được load vào flash chưa, chúng ta sẽ thực hiện command “show flash: “
ciscoasa# show flash: --#-- --length-- -----date/time------ path 2 4096 Jul 23 2014 21:10:52 log 9 4096 Jul 23 2014 21:11:00 crypto_archive 10 4096 Jul 23 2014 21:11:04 coredumpinfo 11 43 Jul 23 2014 21:11:04 coredumpinfo/coredump.cfg 49 16459776 Jul 23 2014 21:17:34 asa822-k8.bin 255582208 bytes total (226881536 bytes free)
Phần 5: Recovery password
• Yêu cầu 1: thiết lập kết nối với asa bằng console
• Yêu cầu 2: reload asa
– Tiến hành tắt firewall asa và mở lại.
• Yêu cầu 3: break vào mode rommon của asa
– Khi asa reboot trở lại, các thông điệp sẽ lần lượt xuất hiện trên màn hình, ta sẽ ấn ESC khi thấy xuất hiện dòng “Use BREAK or ESC to interrupt boot”.
• Yêu cầu 4: thay đổi cấu hình trên thanh ghi tại mode rommon.
• Yêu cầu 5: Sau khi đã set up xong các cấu hình thanh ghi, chúng ta sẽ boot lại asa.
• Yêu cầu 6: Truy cập vào priviledge mode và set up lại password, lúc này password đã trở về mặc định ban đầu.
• Yêu cầu 7: load các cấu hình đã lưu trong file startup-config ( nếu có).
• Yêu cầu 8: tiến hành cài đặt lại password mới.
• Yêu cầu 9: restore lại giá trị thanh ghi ban đầu.
• Yêu cầu 10: lưu tất cả cấu hình ở file running-config vào file startup-config.
Cấu hình:
Đầu tiên chúng ta sẽ tắt nguồn và bật lại cho firewall cisco asa, sau khi xuất hiện dòng chữ “Use BREAK or ESC to interrupt boot” chúng ta sẽ nhấn ESC để vào mode ROMMON để cấu hình các bước tiếp theo .
Booting system, please wait... CISCO SYSTEMS Embedded BIOS Version 1.0(11)5 08/28/08 15:11:51.82 Low Memory: 631 KB High Memory: 512 MB PCI Device Table. Bus Dev Func VendID DevID Class Irq 00 00 00 8086 2578 Host Bridge 00 01 00 8086 2579 PCI-to-PCI Bridge 00 03 00 8086 257B PCI-to-PCI Bridge 00 1C 00 8086 25AE PCI-to-PCI Bridge 00 1D 00 8086 25A9 Serial Bus 11 00 1D 01 8086 25AA Serial Bus 10 00 1D 04 8086 25AB System 00 1D 05 8086 25AC IRQ Controller 00 1D 07 8086 25AD Serial Bus 9 00 1E 00 8086 244E PCI-to-PCI Bridge 00 1F 00 8086 25A1 ISA Bridge 00 1F 02 8086 25A3 IDE Controller 11 00 1F 03 8086 25A4 Serial Bus 5 00 1F 05 8086 25A6 Audio 5 02 01 00 8086 1075 Ethernet 11 03 01 00 177D 0003 Encrypt/Decrypt 9 03 02 00 8086 1079 Ethernet 9 03 02 01 8086 1079 Ethernet 9 03 03 00 8086 1079 Ethernet 9 03 03 01 8086 1079 Ethernet 9 04 02 00 8086 1209 Ethernet 11 04 03 00 8086 1209 Ethernet 5 Evaluating BIOS Options ... Invalid Key: 001B Launch BIOS Extension to setup ROMMON Cisco Systems ROMMON Version (1.0(11)5) #0: Thu Aug 28 15:23:50 PDT 2008 Platform ASA5520 Use BREAK or ESC to interrupt boot. Use SPACE to begin boot immediately. Boot interrupted. Management0/0 Ethernet auto negotiation timed out. Interface-4 Link Not Established (check cable). Default Interface number-4 Not Up Use ? for help. rommon>
Chúng ta sẽ sử dụng câu lệnh “confreg” để cấu hình các giá trị của thanh ghi(register) và một số options khác .
rommon> confreg Current Configuration Register: 0x00000001 Configuration Summary: boot default image from Flash Do you wish to change this configuration? y/n [n]: y enable boot to ROMMON prompt? y/n [n]: enable TFTP netboot? y/n [n]: enable Flash boot? y/n [n]: select specific Flash image index? y/n [n]: disable system configuration? y/n [n]: y go to ROMMON prompt if netboot fails? y/n [n]: enable passing NVRAM file specs in auto-boot mode? y/n [n]: disable display of BREAK or ESC key prompt during auto-boot? y/n [n]: Current Configuration Register: 0x00000040 Configuration Summary: boot ROMMON ignore system configuration Update Config Register (0x40) in NVRAM...
Ngoại trừ disable system configuration, các giá trị còn lại chúng ta sẽ để mặc định. Hãy ghi nhớ lại giá trị cấu hình của thanh ghi để phục vụ cho việc restore.
rommon> boot Launching BootLoader... Default configuration file contains 1 entry. Searching / for images to boot. Loading /asa822-k8.bin... Booting... Platform ASA5520 Loading... Thực hiện khởi động lại cho asa bằng command “boot” ciscoasa> ciscoasa> enable Password: ciscoasa#
Truy cập vào mode priviledge của asa và thiết lập lại password, với password mặc định.
ciscoasa# copy startup-config running-config Destination filename [running-config]? Cryptochecksum(unchanged): 3a3748e9 43700f38 7712cc11 2c6de52b 2204 bytes copied in 0.60 secs ASA#
Copy các cấu hình trong file startup-config vào file running-config.
ASA# config terminal ASA(config)# enable password cisco123
Cài đặt lại password mới cho asa.
ASA(config)# config-register 0x11
Cấu hình restore lại thanh ghi ban đầu.
ASA(config)# copy running-config startup-config Source filename [running-config]? Cryptochecksum: 6167413a 17ad1a46 b961fb7b 5b68dd2b 2204 bytes copied in 3.270 secs (368 bytes/sec)
Lưu tất cả những gì đã cấu hình nãy giờ vào file startup-config.
[nextpage title=”Cấu hình Telnet & SSH”]
Phần 6 : Cấu hình telnet
• Yêu cầu 1: các máy telnet tới asa phải nằm trong miền inside hoặc dmz, nếu các máy ở vùng outside muốn telnet vào asa thì phải có hỗ trợ ipsec tunnel.
• Yêu cầu 2: đặt password telnet cho asa.
• Yêu cầu 3: các máy telnet vào asa phải có hỗ trợ giao thức telnet hoặc sử dụng chương trình hỗ trợ telnet để thực hiện telnet vào asa.
Cấu hình:
Đầu tiên chúng ta sẽ cài đặt telnet cho firewall asa.
ASA# configure terminal ASA(config)# telnet 192.168.1.0 255.255.255.0 inside
Telnet là một chương trình cho phép ta kế nối và đăng nhập vào một máy tinh từ xa(trong LAN, internet). Khi kết nối thành công, máy tinh của ta sẽ thực hiện chức năng như trạm trung gian để gửi yêu cầu đến các máy tính đầu xa. Ta có thể truy cập thông tin, thực thi chương trình và sử dụng một số tài nguyên khác ở máy tinh từ xa.
Cấu trúc của lệnh telnet:
telnet {{IP_address mask} | ipv6_address/prefix} interface}
Với IP_address mask sẽ là địa chỉ ip và subnet mask của máy (hoặc các máy) thuộc cùng một interface sẽ được phép telnet tới asa. Timeout là số phút tối đa cho 1 phiên telnet ở trạng thái idle ( timeout có giá trị từ 1 – 1440 phút).
Tiếp theo chúng ta sẽ cấu hình password cho telnet:
ASA# configure terminal ASA(config)# passwd cisco123 //password cho telnet
Cấu hình password để tăng cường tinh bảo mật cho 1 phiên (session) telnet. Tuy nhiên, khác với ssh, password của telnet sẽ không được mã hóa(encrypted) khi đi trên đường truyền.
Kiểm tra:
Để kiểm tra các máy tinh nào đang thực hiện telnet vào máy tinh, chúng ta dùng lệnh “who”.
ASA# who 0: 192.168.1.2
Output là các máy hiện đang kết nối, “0” là session id và 192.168.1.2 là ip của thiết bị đang kết nối tới asa.
Để ngắt kết nối 1 phiên telnet ngày lập tức, chúng ta có thể dùng command “kill”.
ASA# kill 0
Lệnh “kill ” sẽ disconnect 1 session telnet tới asa ngay lập tức.
Bước 7: Cấu hình SSH
• Yêu cầu 1: tạo ra rsa key cho thiết bị asa.
• Yêu cầu 2: các máy ssh tới asa phải cài đặt chương trình hỗ trợ ssh.
Cấu hình:
Đầu tiên chúng ta sẽ tạo ra rsa key cho asa:
ASA(config)# crypto key generate rsa INFO: The name for the keys will be: Keypair generation process begin. Please wait...
SSH là một chương trình tương tác giữa máy chủ và máy khách có sử dụng cơ chế mã hoá đủ mạnh nhằm ngăn chặn các hiện tượng nghe trộm, đánh cắp thông tin trên đường truyền.
Tiếp theo chúng ta sẽ kiểm tra key rsa được sinh ra:
ciscoasa(config)# show crypto key mypubkey rsa Key pair was generated at: 20:00:00 UTC Jul 21 2014 Key name: Usage: General Purpose Key Modulus Size (bits): 1024 Key Data: 30819f30 0d06092a 864886f7 0d010101 05000381 8d003081 89028181 00bd10f5 54f29f12 8e1c17f1 c4c0208d 32aaf722 ae39191c 741eba76 2960c3e7 07753153 d19d7638 711c2c73 d4bef956 98cc0d0e b26bb04b 5afc1de6 8b0904d4 05f0df65 6cd3b63b 11193963 e5e745e2 ff6650e4 54695554 c424af75 829f1470 e2566657 8aab0ebd ff81fd66 d2bd0d97 33a3c79b b6015bc3 ef57e71d 73d1ac73 19020301 0001
Tương tự như telnet ở trên, chúng ta sẽ cấu hình các máy nào sẽ được ssh vào asa.
ASA(config)# ssh 192.168.1.0 255.255.255.0 inside
Vì 1 phiên ssh được mã hóa, nên ipsec tunnel không cần phải thiết lập đối với các interface outside, nên các user thuộc interface outside vẫn có thể ssh tới asa bình thường.
Lưu ý: mặc định nếu không có hệ thống AAA thì username là pix và password là password được cài đặt bằng command “passwd”.
Cấu hình version cho ssh, chúng ta làm như sau:
ASA(config)# ssh version 2
Ssh có 2 version là version 1 và version 2. ASA support cho cả 2 version 1, và 2. Nhưng chúng ta nên sử dụng version 2 vì có tinh bảo mật cao hơn và mã hóa mạnh hơn.
Kiểm tra:
Để kiểm tra các session của ssh , chúng ta dùng lệnh “show ssh sessions” .
ASA(config)# show ssh sessions SID Client IP Version Mode Encryption Hmac State Username 0 192.168.1.2 2.0 IN aes256-cbc sha1 SessionStarted pix OUT aes256-cbc sha1 SessionStarted pix
Để ngắt kết nối với một session đang ssh, chúng ta dùng lệnh “ssh disconnect ”.
ASA# ssh disconnect 0
Xin kết thúc bài hướng dẫn tại đây. Chúc các bạn thành công !
