购买或续订
购买或续订
Umbrella 发布说明和公告现已在 Cisco 社区发布!点击查看详情。
取消
开启建议
自动建议可通过在您键入时建议可能的匹配,而快速缩小您的搜索结果范围。
显示结果 
搜索替代 
您的意思是: 
cancel
开始对话
1499
查看次数
0
有帮助
7
回复

防火墙5508SSH配置

查看解答
1606609469
Level 1
Level 1

‎08-14-2023 02:02 AM - 编辑日期 ‎08-14-2023 02:08 AM

我公司有多个公网IP,130.125.126.28------35,29是网关,30是物理地址,其他都是虚拟的,想拿28单独用作ssh远程管理这台防火墙,是否可以,如何配置。

标签:
0 有帮助
1 个已接受解答

已接受的解答

查看解答
YilinChen
Spotlight
Spotlight
回复 1606609469

发布时间 ‎08-14-2023 08:34 PM

查过配置手册了,ASA不支持指定IP用于SSH服务,也不支持修改SSH端口号,建议楼主采用其它替代解决方案,比如部署JumpServer来提升安全性

在原帖中查看解决方案

0 有帮助
7 条回复7

查看解答
cruiseluo
Spotlight
Spotlight

发布时间 ‎08-14-2023 07:11 PM

可以,一般的做法是用28这个地址做静态NAT映射,以H3C路由器或三层交换机的配置为例:
方法一:
#
nat static 192.168.0.1 130.125.126.28     # 静态一对一 NAT,内网地址:192.168.0.1,外网地址:130.125.126.28
#
interface GigabitEthernet1/1/3                  # 使配置的静态NAT在 interface GigabitEthernet1/1/3 上生效,方向是 outbound
nat outbound static
ip address 130.125.126.30 255.255.255.248



方法二:
#
interface GigabitEthernet1/1/3
nat server protocol tcp global 130.125.126.28 22 inside 192.168.0.1 22
ip address 130.125.126.30 255.255.255.248

说明:前面的示例可能你用不上,姑且做个参考。按照你的想法,应该是130.125.126.28这个地址应该配置到防火墙管理端口,然后防火墙的外网端口和管理端口通过一台二层交换机和运营商过来的线缆连接在同一个二层域;或者是防火墙直接用 130.125.126.30:22,但是这两种方法都非常不安全,22端口不应该向互联网侧开放。通常的做法是通过vpn访问到内网,然后再访问防火墙内网管理地址的22端口,而且要做好访问限制规则。现在的防火墙一般都自带vpn功能(这个可能需要授权)

0 有帮助

查看解答
1606609469
Level 1
Level 1
回复 cruiseluo

发布时间 ‎08-16-2023 05:44 PM

你的办法我试过,不行,28是虚拟端口

0 有帮助

查看解答
YilinChen
Spotlight
Spotlight

发布时间 ‎08-14-2023 07:22 PM

先明确子网掩码吧,如果.29是网关,设备上对应接口配的是.30,那么.28很有可能是网络号,并不能拿来使用。

0 有帮助

查看解答
1606609469
Level 1
Level 1
回复 YilinChen

发布时间 ‎08-14-2023 07:40 PM

公网地址,24位的源码,28不是网络号,怎么映射出去

0 有帮助

查看解答
YilinChen
Spotlight
Spotlight
回复 1606609469

发布时间 ‎08-14-2023 08:34 PM

查过配置手册了,ASA不支持指定IP用于SSH服务,也不支持修改SSH端口号,建议楼主采用其它替代解决方案,比如部署JumpServer来提升安全性

0 有帮助

查看解答
Rps-Cheers
VIP
VIP

发布时间 ‎08-14-2023 09:01 PM

不太理解你的意思,29作为GW,30是配置在ASA实际接口的IP地址吗?其他几个地址,如31,32,33,34,35都是虚拟的?是指在ASA上配置的虚拟IP还是说只用作专门的功能的,并不提供实际业务转发的IP地址呢?

Features like HSRP, VRRP, GLBP are not supported on the ASA. If you have 2 ASAs in failover they share the same ip address, but only the active is taking passing the traffic. The do no pass traffic at the same time.

Now if you go in a more complicated scenario with an active/active context you can have 2 units passing traffic at the same time. But still these are different virtual firewalls that have different policies.

To summarize, HA pairs as know from IOS is not supported on ASAs in the same way.

https://community.cisco.com/t5/network-security/is-virtual-ip-possible-in-asa/td-p/1346257

-------------------

如果说想要配置SSH,可以参考如下文档:

https://www.cisco.com/c/en/us/support/docs/security/asa-5500-x-series-next-generation-firewalls/118075-configure-asa-00.pdf

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Rps-Cheers | If it solves your problem, please mark as answer. Thanks !
0 有帮助

查看解答
1606609469
Level 1
Level 1
回复 Rps-Cheers

发布时间 ‎08-14-2023 09:16 PM

30是配置实际接口的IP地址,其他几个地址,如31,32,33,34,35都是虚拟的,指在ASA上配置的虚拟IP

0 有帮助
快捷链接

浏览社区快速链接并以您的母语获取个性化内容:

发布或浏览文章 分享想法或新闻 观看我们的所有视频视频
Customers Also Viewed These Support Documents