Безопасность : Многофункциональные устройства защиты Cisco ASA серии 5500

ASA: Присоединение модема US Robotics к порту консоли

20 октября 2016 - Машинный перевод
Другие версии: PDF-версия:pdf | Английский (22 августа 2015) | Отзыв


Содержание


Введение

Этот документ объясняет, как подключить модем US Robotics к консольному порту устройства адаптивной защиты Cisco (ASA), который имеет консольные порты RJ-45. Эту процедуру можно использовать и для других марок модемов, однако следует обратиться к документации по модему за эквивалентной строкой инициализации.

Примечание: Вы не можете подключить модем к Порту AUX ASA, как вы могли бы на маршрутизаторах или коммутаторах. Порт AUX предназначен для устройств, таких как серверы терминала.

Примечание: Незащищенные модемы не должны быть связаны с консольным портом. Консольные порты не регистрируют пользователей прочь, когда определение несущей потеряно, который может оставить брешь системы безопасности. Во избежание этого используйте безопасный модем или консольные настройки времени ожидания в ASA, который выходит из системы пользователь после того, как период времени задал в команде таймаута. Для получения дополнительной информации о преимуществах и недостатках соединения модема к консольному порту посмотрите раздел Проблем консольного порта этого документа.

Предварительные условия

Требования

Для этого документа отсутствуют особые требования.

Используемые компоненты

Сведения в этом документе основываются на ASA серии 5500 Cisco с версией программного обеспечения 7.0 и позже.

Сведения, представленные в этом документе, были получены от устройств, работающих в специальной лабораторной среде. Все устройства, описанные в этом документе, были запущены с чистой (стандартной) конфигурацией. В рабочей сети необходимо изучить потенциальное воздействие всех команд до их использования.

Условные обозначения

Дополнительные сведения об условных обозначениях см. в документе Условные обозначения технических терминов Cisco.

Выполненные задачи

  • Настройка модема для подключения к консоли. Начиная с возможность обратного доступа по протоколу Telnet отсутствий консольного порта, строка инициализации модема (строка init) должна быть установлена перед соединением модема с консольным портом ASA.

  • Подключите модем с консольным портом ASA.

  • Настройте ASA для приема входящим вызовам.

Эти задачи объяснены в разделе Пошаговой процедуры этого документа.

Пошаговая процедура

Выполните эти шаги для присоединения модема US Robotics к консольному порту Cisco ASA:

  1. Подключите модем к компьютеру. Этот шаг необходим для доступа к модему для установки строки инициализации.

    Присоедините адаптер RJ-45-to-DB-9, помеченный "Terminal", к COM-порту компьютера. От конца RJ-45 адаптера подключите плоский гладкий Прокрученный RJ-45 - кабель RJ-45 (CAB-500RJ номера изделия =), которому предоставляют каждый Cisco ASA для консольных соединений. Вам также нужен отмеченный "МОДЕМ" адаптера RJ-45-DB-25 (CAB-25AS-MMOD номера изделия) для соединения витого кабеля с портом DB-25 на модеме.

    asa-us-robo-modem-1.gif

  2. На модеме выключите модем, установите Dip-коммутатор семь во вниз и включите модем для восстановления заводских настроек. После этого снова выключите модем. Посмотрите Раздел прочих сведений этого документа для получения информации о Параметрах коммутатора DIP.

  3. Обратный доступ по протоколу Telnet от ПК до модема.

    Используйте программу эмуляции терминала на ПК, таком как HyperTerminal, и обратитесь к Модему для ПК через COM - порт, с которым вы соединились в шаге 1. Как только вы соединяетесь с Модемом для ПК через COM - порт, необходимо применить строку инициализации (см. шаг 4). Для примера обратитесь к разделу Примера сеанса гипертерминала Клиентских модемов Настройки для Работы с Cisco Access Server.

  4. Введите эту строку инициализации, которая пишет желаемые параметры настройки строки инициализации в NVRAM:

    AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
    

    Примечание: 0s в этой строке, обнуляет. Посмотрите Раздел прочих сведений этого документа для получения информации о строках инициализации.

    Примечание: Необходимо получить ответ OK от модема. Если модем не отвечает, проверьте что оборудование модема и телеграфирующий функцию правильно.

  5. Введите эту строку инициализации для отключения Эха и результирующих кодов:

    ATE0Q1&W
    
  6. Dip-коммутаторы изменения 4 и 8 к вниз и поддерживают остальных как. Затем подвергните циклу включения и выключения питания модем.

  7. Отключите прокрученный кабель RJ-45 от адаптера RJ-45-DB-9 ПК и подключите его к консольному порту ASA.

    asa-us-robo-modem-2.gif

    Примечание: Перекрученный плоский с шелковой оплеткой RJ-45-to-RJ-45 с адаптерами RJ-45-to-DB-25 (шифр компонента 25AS-MMOD) на обоих концах НЕ МОЖЕТ быть использован из-за неправильных сигнальных пар.

  8. Включите модем.

  9. Для целей обеспечения безопасности необходимо настроить консольный таймаут, а также enable password в ASA.

    
    !--- Configure console idle timeout for 10 minutes.
    
    ASA5510(config)#console timeout 10
    

    Если ASA не имеет enable password, входящие соединения не в состоянии войти в привилегированный режим.

    
    !--- In order to allow incoming calls to enter enable mode:
    
    ASA5510(config)#enable password asa123
    
  10. Используйте аналоговый телефон, чтобы проверить, что телефонная линия активна и функции. Затем подключите аналоговую телефонную линию к модему.

  11. Протестируйте подключение с помощью модема путем инициирования Модемного вызова EXEC к ASA от другого устройства (например, ПК).

    Используйте программу эмуляции терминала на ПК, таком как HyperTerminal, и обратитесь к Модему для ПК через один из COM - портов. Как только вы соединились с Модемом для ПК через COM - порт, инициируйте набор к ASA. Для примера обратитесь к разделу Примера сеанса гипертерминала Клиентских модемов Настройки для Работы с Cisco Access Server.

    Примечание: Линия консольного порта не выполняет Протокол PPP. Следовательно, вы не можете набрать Удаленный доступ к сети Microsoft Windows использования (DUN) для этого соединения.

  12. Как только соединение установлено, нажмите <return> для получения приглашения на ASA.

Особенности использования порта консоли

Существует несколько преимуществ для соединения модема к консольному порту ASA. Однако недостатки существенны.

Преимущества, когда вы подключаете модем на консольном порте

  • Можно восстанавливать пароли удаленно. Вам, возможно, все еще понадобился бы кто-то внутрисайтовый с ASA для переключения питания. Кроме этого, это идентично тому, чтобы быть там с ASA.

  • Это - удобный способ для присоединения модема к ASA без асинхронных портов. Если необходимо обратиться к ASA для конфигурации или управления, это выгодно.

Недостатки, когда вы подключаете модем на консольном порте

  • Порт консоли не поддерживает управление для модема RS232 (DSR/DCD,DTR). Таким образом, когда сеанс EXEC завершается (с выходом), подключение модема не сбрасывается автоматически. Пользователю нужно вручную разорвать подключение.

  • Более серьезной проблемой является то, что если соединение модема сбрасывается, сеанс EXEC автоматически не перезапускается. Это может представлять собой уязвимость в системе безопасности, при которой последующие вызовы, направленные в этот модем могут получать доступ к консоли без ввода пароля. Можно сделать дыру меньшей при установке трудного exec-timeout на ASA. Однако если безопасность очень важна, используйте модем, который может давать приглашение на ввод пароля.

  • Данный консольный порт, в отличие от других асинхронных каналов, не поддерживает аппаратный (CTS/RTS) контроль потока. Cisco рекомендует не использовать контроль потока. Если происходят переполнения данными, можно, тем не менее, включить программный (XON/XOFF) контроль потока.

  • Консольному порту не хватает возможности обратного Telnet. Если модем теряет свою сохраненную строку инициализации, единственное средство должно физически разъединить модем от ASA и подключить его к другому устройству (такому как ПК), чтобы повторно инициализировать.

  • Нельзя использовать консольный порт для маршрутизации вызовов по запросу, поскольку у него нет соответствующего асинхронного интерфейса.

Прочее

Dip-переключатели

Эта таблица содержит список функций Dip-коммутаторов на модеме US Robotics:

ON (включено) = Выключенный, ВЫКЛЮЧЕНО =

DIP-переключатель Описание
1 Переназначение DTR
2 Словесные/численные коды результата
3 Отображение кода результата
4 Подавление локального эха командного режима
5 Подавление автоматического ответа
6 Замена CD
7 Настройки по умолчанию при включении и перезагрузке ATZ
8 Распознавание набора команд AT

Initialization string

Строка инициализации ввела для этой конфигурации, имеет эти характеристики:

AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
Команда AT Описание
&F0 Устанавливаются заводские настройки (нет управления потоком)
S0=1 Режим автоответа на первом вызове
&C1 Использует фактическое состояние носителя от удаленного модема для (рекомендуемого) Определения несущей Носителя данных
&D2 В то время как DTR ВЫКЛЮЧЕНО, DTR, уходящий триггерное отключение модема, передает результирующий код OK, и отключает режим автоответа. По умолчанию
_________________________ М1 В синхронном режиме CTS всегда включен, и RTS проигнорирован
&M4 ARQ/Обычный режим
&K0 Отключите сжатие данных
&N6 Максимальная скорость канала (скорость DCE) - 9600 бит/сек
&W Сохранение конфигурации в nvram
&Q1 Выбирает синхронный режим подключения асинксом недоступно командный режим

Кабельные выводы для RJ-45 к DB-9 или DB-25

asa-us-robo-modem-3.gif

Схема расположения выводов перекрученного (консольного) кабеля RJ-45

asa-us-robo-modem-4.gif


Дополнительные сведения


Document ID: 72313