在Adaptive Security Appliance (ASA)上支持TELNET和SSH协议。

先决条件：自适应安全设备（ASA）
用户可以通过控制台或远程访问方式，使用Telnet或SSH来获取设备的管理权限。同样地，ASA（Adaptive Security Appliance）的命令行界面也可以通过控制台或使用Telnet/SSH来实现访问；而图形化界面则可以通过ASDM工具来实现访问。
在ASA上使用Telnet： 
Telnet是一种应用层协议，它使用TCP端口号23进行通信。该协议主要用于远程访问设备，但由于其安全性较低，因此使用频率相对较低。客户端与服务器之间交换的数据都是明文形式。
如果我们想要在ASA上配置Telnet，那么需要遵循以下步骤。

• 启用Telnet服务 – 
  默认情况下，ASA设备上的登录密码被设置为“cisco”。如果我们需要更改该密码，可以使用相应的命令来进行修改。

asa(config)#password GeeksforGeeks 

或者，可以通过使用命令来实现。

asa(config)#passwd GeeksforGeeks 

“GeeksforGeeks”就是我们所设置的密码。

• 分配能够发起Telnet连接的IP地址。 
  在路由器中，如果我们启用了Telnet服务，并且没有配置任何ACL规则的话，那么任何IP地址都可以与路由器建立Telnet连接。但在ASA设备中，我们必须为那些能够使用ASA的Telnet服务的IP地址分配相应的地址。
  可以通过以下命令来实现：

asa(config)#telnet  {source_IP_address} {subnet_ask} {source_interface}   

首先，我们需要指出用于让ASA接受Telnet连接的{source_IP_address}。当然，这个IP地址可以是一个单独的IP地址，也可以是一个整个网络。接下来是{source_IP_address}的子网掩码。最后，我们还需要指定{source_interface}，即ASA用来接收Telnet连接的接口。

• 设置Telnet超时时间 – 
  这是Telnet会话可以处于空闲状态的时间段，之后ASA才会终止该会话。这个时间段可以是1到2440分钟之间。默认情况下，超时时间为5分钟。
  用于该操作的命令是：

asa(config)#telnet timeout {minutes} 

局限性/限制条件 
由于 ASA 有多个已配置的接口，因此，来自安全性最低的接口的 Telnet 连接是不被允许的。

配置示例 –  

这里有一个简单的拓扑结构，其中有三个路由器：Router1的IP地址为10.1.1.1/24，Router2的IP地址为10.1.2.1/24，Router3的IP地址为10.1.3.1/24。这三个路由器都连接到了ASA设备上。ASA设备的内部接口的IP地址为10.1.1.2/24，安全级别为100；外部接口的IP地址为10.1.2.2/24，安全级别为0；而DMZ区域的接口IP地址为10.1.3.2/24，安全级别为50。
在这个任务中，我们将允许从Router1（10.1.1.1/24）、Router2（10.1.2.1/24）以及Router3（10.1.3.1/24）分别通过Telnet协议访问这些接口。
假设所有路由器和ASA设备都已经配置了IP地址。现在，需要在ASA上为所有路由器的IP地址启用Telnet功能，并为其设置密码，密码为“GeeksforGeeks”。

asa(config)#password GeeksforGeeksasa(config)#telnet 10.1.1.1 255.255.255.255 INSIDEasa(config)#telnet timeout 10asa(config)#telnet 10.1.2.1 255.255.255.255 OUTSIDEasa(config)#telnet timeout 10asa(config)#telnet 10.1.3.1 255.255.255.255 DMZasa(config)#telnet timeout 10

通过使用相关命令来连接 Telnet ASA。

Router#telnet {ASA_interface_IP_address} 

例如——  

Router1#telnet 10.1.1.2

同样地，在Router2和Router3上也是如此。
在这种情况下，Router1和Router3能够访问ASA的Telnet接口，而Router2则无法访问ASA的Telnet接口，因为ASA的OUTSIDE接口具有最低的安全级别。
注意： 
如果我们想要使用ASA的本地数据库，那么首先需要通过命令来创建本地数据库。

asa(config)#username Cisco password GeeksforGeeks 

然后，通过命令强制 ASA 使用本地数据库进行登录。

asa(config)#aaa authentication telnet console LOCAL

请注意，LOCAL这个词对大小写是有要求的。
2. ASA上的SSH连接： 
SSH是一种应用层协议，用于实现设备的远程访问。它使用TCP端口22进行通信，相比Telnet来说，SSH更加安全，因为其传输的数据包会被加密处理。
SSH的配置方式与Telnet类似，但所使用的命令有所不同。

要在ASA上启用SSH功能，需要完成两个步骤：

• 启用SSH服务 – 
  要在ASA上启用SSH功能，首先需要使用命令生成加密密钥。

asa(config)#crypto key generate rsa modulus {modulus_value} 

在生成了加密密钥之后，可以通过命令在ASA上创建本地数据库。

asa(config)#username cisco password GeeksforGeeks 

在这里，cisco就是用户名，而密码则是GeeksforGeeks。

• 请告知那些可以访问ASA上的SSH服务的设备的IP地址。 
  就像在Telnet中一样，我们也需要允许某些IP地址通过SSH访问ASA。这可以通过以下命令来实现：

asa(config)#ssh {source_IP_address} {subnet_ask} {source_interface}   

首先，我们需要提到的是用于允许ASA接受SSH连接的{source_IP_address}。接下来是{source_IP_address}的子网掩码。最后，还需要提到的是{source_interface}，即ASA用来处理SSH流量的接口。

• 设置SSH超时时间 – 
  这是SSH会话可以处于空闲状态的时间段，之后ASA才会终止该会话。这个时间段可以是1到2440分钟之间。默认情况下，超时时间为5分钟。
  用于该功能的命令是：

asa(config)#ssh timeout {minutes} 

如果我们希望使用本地数据库来进行 SSH 登录，那么可以使用相应的命令来实现。

asa(config)#aaa authentication ssh console LOCAL

配置示例 –  

使用相同的网络拓扑结构，其中三个路由器分别如下：Router1的IP地址为10.1.1.1/24，Router2的IP地址为10.1.2.1/24，Router3的IP地址为10.1.3.1/24。这三个路由器都与ASA相连。ASA的IP地址为10.1.1.2/24，该地址位于内部接口上，其安全级别为100；另一个IP地址为10.1.2.2/24，该地址位于外部接口上，其安全级别为0；最后一个IP地址为10.1.3.2/24，该地址位于DMZ区域上，其安全级别为50。
在这个任务中，我们将允许从Router1（10.1.1.1/24）和Router3（10.1.3.1/24）分别向所有接口发送SSH连接请求。
假设所有路由器和ASA设备都已经完成了IP地址的配置。现在，需要在ASA上为所有路由器的IP地址启用SSH功能。同时，将用户名设置为Saurabh，密码则设置为GeeksforGeeks。

asa(config)#crypto key generate rsa modulus 1024asa(config)#username saurabh password GeeksforGeeks asa(config)#aaa authentication ssh console LOCAL asa(config)#ssh 10.1.1.1 255.255.255.255 INSIDEasa(config)#ssh timeout 10asa(config)#ssh 10.1.3.1 255.255.255.255 DMZasa(config)#telnet timeout 10

此外，还可以通过在Router1上使用相应的命令来使用SSH和ASA功能。

Router1#ssh -l saurabh 10.1.1.2 

通过命令，从Router2上执行SSH和ASA操作。

Router3#ssh -l saurabh 10.1.3.2 

两者都可以使用 SSH 连接到 ASA。与通过 Telnet 连接相比，ASA 方面没有任何限制。

TELNET和SSH都是用于建立与设备（如Adaptive Security Appliance，简称ASA）之间的远程连接的网络协议。

TELNET是一种较旧的协议，它允许不安全的远程访问设备的命令行界面。该协议以纯文本格式发送数据，因此很容易被未经授权的人员截获或监视。因此，在可能的情况下，建议优先使用SSH协议而不是TELNET。

而SSH则是一种更为安全的协议，它能够为设备提供加密的远程访问功能。该协议利用密码学技术来保护客户端与服务器之间交换的数据，从而降低了数据被截获或未经授权访问的风险。默认情况下，ASA使用SSH版本2来实现加密的远程访问功能。

要为 ASA 配置 TELNET 或 SSH 访问功能，首先需要配置相关的访问控制列表（ACL），以允许来自或前往所需主机的流量。接下来，需要在 ASA 上启用 TELNET 或 SSH 功能，并配置相关参数，例如端口号和认证方式。

以下是在ASA上启用TELNET或SSH访问的基本步骤：

• 配置一个ACL，以允许TELNET或SSH流量访问ASA设备。例如：
   

pythonaccess-list outside_access_in permit tcp any host <ASA IP address> eq telnetaccess-list outside_access_in permit tcp any host <ASA IP address> eq ssh

• 在 ASA 上启用 TELNET 或 SSH。对于 TELNET，需要执行以下步骤：
   

csstelnet <ASA IP address>For SSH:

cssssh <ASA IP address>

• 请配置 TELNET 或 SSH 相关的参数。

例如，要将SSH端口设置为2222：
 

vbnetssh version 2ssh 0.0.0.0 0.0.0.0 outsidessh timeout 60ssh key-exchange group dh-group14-sha1ssh authentication-retries 3ssh port 2222

• 请配置用于 TELNET 或 SSH 的认证方式。你可以使用本地用户名和密码，或者与外部认证服务器集成，比如 RADIUS 或 TACACS+。
   
• 通常建议使用SSH而非TELNET来进行ASA的远程访问，因为SSH提供了更好的安全性和加密功能。