ASA ：附加一个US Robotics调制解调器控制台端口

Introduction

本文档说明如何将 US Robotics 调制解调器连接到具有 RJ-45 控制台端口的 Cisco 自适应安全设备 (ASA) 的控制台端口。此程序可以用于其它调制解调器品牌，但是您必须参考您的调制解调器文档，获得相同初始化字符串。

Note: 您不能像在路由器或交换机上一样，将调制解调器连接到 ASA 的 AUX 端口。AUX 端口适用于终端服务器等设备。

Note: 不应将不受保护的调制解调器连接到控制台端口。控制台端口不记录用户，当载波检测丢失时，能留下安全漏洞。为了避免出现这种情况，请使用安全调制解调器，或者使用 ASA 中的控制台超时设置，以便在 timeout 命令中指定的时间段之后注销用户。有关将调制解调器连接到控制台端口的优缺点的详细信息，请参阅本文档中的控制台端口问题部分。

Prerequisites

Requirements

There are no specific requirements for this document.

Components Used

本文档中的信息基于 Cisco 5500 系列 ASA（带有软件版本 7.0 或更高版本）。

The information in this document was created from the devices in a specific lab environment.All of the devices used in this document started with a cleared (default) configuration.If your network is live, make sure that you understand the potential impact of any command.

Conventions

Refer to Cisco Technical Tips Conventions for more information on document conventions.

执行的任务

• 配置调制解调器，以进行控制台连接。由于控制台端口缺少反向 Telnet 功能，因此在将调制解调器连接到 ASA 的控制台端口之前，必须先设置调制解调器初始化字符串（init string）。

• 将调制解调器连接到 ASA 的控制台端口。

• 配置 ASA 以接收传入呼叫。

这些任务在本文档的分步过程部分说明。

逐步程序

完成以下步骤，以将 US Robotics 调制解调器连接到 Cisco ASA 的控制台端口：

1. 将调制解调器连接到 PC。必须执行此步骤，才能访问调制解调器，设置初始化字符串。

   将一个标有“Terminal”的 RJ-45 到 DB-9 适配器连接到 PC 的 COM 端口。从适配器的RJ-45末端，请连接一个平坦光滑卷起的RJ-45--RJ-45电缆(部件号CAB-500RJ=)，带有每个Cisco ASA为控制台连接。您还需要一个标有“MODEM”的 RJ-45 到 DB-25 适配器（部件号 CAB-25AS-MMOD），以便将反转电缆连接到调制解调器的 DB-25 端口。

   

2. 在调制解调器上，关闭调制解调器，将 DIP 开关 7 设置为向下，然后再次打开调制解调器，从而恢复出厂默认设置。在此之后，再次关闭调制解调器。有关 DIP 开关设置的信息，请参阅本文档的其他部分。

3. 从 PC 到调制解调器执行反向 Telnet。

   在 PC 上使用终端模拟程序（例如 HyperTerminal），然后通过您在步骤 1 中连接的 COM 端口访问 PC 调制解调器。当您通过 COM 端口连接到 PC 调制解调器之后，需要应用初始化字符串（请参阅步骤 4）。有关示例，请参阅配置客户端调制解调器以便与 Cisco 接入服务器结合使用的 HyperTerminal 会话示例部分。

4. 键入此初始化字符串，将所需的初始化字符串设置写入 NVRAM：

   AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
   

   Note: 此字符串中的 0s 表示零。有关初始化字符串的信息，请参阅本文档的其他部分。

   Note: 您应该从调制解调器收到“OK”响应。如果调制解调器不响应，请验证调制解调器硬件和接线均能正常工作。

5. 输入此初始化字符串，以便禁用 Echo 和结果代码：

   ATE0Q1&W
   

6. 将 DIP 开关 4 和 8 改为向下，并将其他开关保持向上。然后为调制解调器重新通电。

7. 从 PC 的 RJ-45 到 DB-9 适配器上拔下 RJ-45 反转电缆，并连接到 ASA 的控制台端口。

   

   Note: 一个卷起的RJ-45-to-RJ-45平面的滑电缆用RJ-45到DB-25适配器(部件号CAB-25AS-MMOD)在两端不可以使用的归结于不正确信号对。

8. 打开调制解调器。

9. 为安全起见，您需要在 ASA 中配置 console timeout 以及 enable password。

   
   !--- Configure console idle timeout for 10 minutes.
   
   ASA5510(config)#console timeout 10
   

   如果 ASA 没有 enable password，传入的连接就不能进入启用模式。

   
   !--- In order to allow incoming calls to enter enable mode:
   
   ASA5510(config)#enable password asa123
   

10. 使用模拟电话验证电话线已激活并且能正常工作。然后，将模拟电话线连接到调制解调器。

11. 通过从另一个设备（例如 PC）启动对 ASA 的 EXEC 调制解调器调用，对调制解调器连接进行测试。

    在 PC 上使用终端模拟程序（例如 HyperTerminal），并通过某个 COM 端口来访问 PC 调制解调器。当您通过 COM 端口连接到 PC 调制解调器之后，开始拨号到 ASA。有关示例，请参阅配置客户端调制解调器以便与 Cisco 接入服务器结合使用的 HyperTerminal 会话示例部分。

    Note: 控制台端口线没有运行点对点协议 (PPP)。因此，不能使用 Microsoft Windows 拨号网络 (DUN) 拨号建立此连接。

12. 一旦建立连接，请在 ASA 上按 <Return>，以便获取提示。

控制台端口问题

将调制解调器连接到 ASA 的控制台端口，有一些优点。然而，其缺点也同样明显。

在控制台端口上连接调制解调器的优点

• 可以远程恢复口令。您可能仍然需要有人在 ASA 现场开关电源。除此以外，它与现场处理 ASA 完全相同。

• 可以方便地将调制解调器连接到没有异步端口的 ASA。如果您需要访问 ASA 以便进行配置或管理，这就很有帮助。

在控制台端口上连接调制解调器的缺点

• 控制台端口不支持 RS232 调制解调器控制（数据集就绪/数据载波检测 (DSR/DCD)、数据终端就绪 (DTR)）。因此，当 EXEC 会话终止（注销）时，调制解调器连接不会自动断开。用户需要手工断开会话。

• 更严重的是，当调制解调器连接断开后，EXEC 会话并不会自动重置。这会造成一个安全漏洞，使得进入该调制解调器的后续呼叫能够在不输入口令的情况下访问控制台。如果在 ASA 上设置一个很短的 exec-timeout 值，则可以缩小该漏洞。但是，如果安全问题很重要，则应使用能够提供口令提示的调制解调器。

• 与其他异步线路不同，控制台端口不支持硬件（允许发送/发送就绪 (CTS/RTS)）流控制。Cisco 建议不要使用流控制。然而，如果出现数据超载，可以启用软件 (XON/XOFF) 流控制。

• 控制台端口缺乏反向 Telnet 功能。如果调制解调器丢失其存储的初始化字符串，则唯一的解决办法就是断开调制解调器与 ASA 的物理连接，然后将其连接到另一个设备（例如 PC）重新进行初始化。

• 不能为按需拨号路由使用控制台端口，因为它没有对应的异步接口。

其他

DIP 开关

下表包含 US Robotics 调制解调器上的 DIP 开关的功能列表：

开 = 向下，关 = 向上

初始化字符串

为此配置输入的初始化字符串具有以下特性：

AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W

RJ-45 到 DB-9 或 DB-25 的电缆引脚布局

RJ-45 反转（控制台）电缆引脚布局

Related Information

• 附加US Robotics调制解调器Cisco路由器的控制台端口
• Cisco ASA 5500 系列自适应安全设备产品支持
• Technical Support & Documentation - Cisco Systems