ASA :将 US Robotics 调制解调器连接到控制台端口
目录
简介
本文档说明如何将 US Robotics 调制解调器连接到具有 RJ-45 控制台端口的 Cisco 自适应安全设备 (ASA) 的控制台端口。此程序可以用于其它调制解调器品牌,但是您必须参考您的调制解调器文档,获得相同初始化字符串。
注意: 您不能像在路由器或交换机上一样,将调制解调器连接到 ASA 的 AUX 端口。AUX 端口适用于终端服务器等设备。
注意: 不应将不受保护的调制解调器连接到控制台端口。当载波检测丢失时,控制台端口不会使用户登出,就会留下安全漏洞。为了避免出现这种情况,请使用安全调制解调器,或者使用 ASA 中的控制台超时设置,以便在 timeout 命令中指定的时间段之后注销用户。有关将调制解调器连接到控制台端口的优缺点的详细信息,请参阅本文档中的控制台端口问题部分。
先决条件
要求
本文档没有任何特定的要求。
使用的组件
本文档中的信息基于 Cisco 5500 系列 ASA(带有软件版本 7.0 或更高版本)。
本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果您使用的是真实网络,请确保您已经了解所有命令的潜在影响。
规则
有关文档规则的详细信息,请参阅 Cisco 技术提示规则。
执行的任务
-
配置调制解调器,以进行控制台连接。由于控制台端口缺少反向 Telnet 功能,因此在将调制解调器连接到 ASA 的控制台端口之前,必须先设置调制解调器初始化字符串(init string)。
-
将调制解调器连接到 ASA 的控制台端口。
-
配置 ASA 以接收传入呼叫。
这些任务在本文档的分步过程部分说明。
分步过程
完成以下步骤,以将 US Robotics 调制解调器连接到 Cisco ASA 的控制台端口:
-
将调制解调器连接到 PC。必须执行此步骤,才能访问调制解调器,设置初始化字符串。
将一个标有“Terminal”的 RJ-45 到 DB-9 适配器连接到 PC 的 COM 端口。从适配器的RJ-45末端,请连接一个平坦光滑卷起的RJ-45--RJ-45电缆(部件号CAB-500RJ=),带有每个思科ASA为控制台连接。您还需要一个标有“MODEM”的 RJ-45 到 DB-25 适配器(部件号 CAB-25AS-MMOD),以便将反转电缆连接到调制解调器的 DB-25 端口。
-
在调制解调器上,关闭调制解调器,将 DIP 开关 7 设置为向下,然后再次打开调制解调器,从而恢复出厂默认设置。在此之后,再次关闭调制解调器。有关 DIP 开关设置的信息,请参阅本文档的其他部分。
-
从 PC 到调制解调器执行反向 Telnet。
在 PC 上使用终端模拟程序(例如 HyperTerminal),然后通过您在步骤 1 中连接的 COM 端口访问 PC 调制解调器。当您通过 COM 端口连接到 PC 调制解调器之后,需要应用初始化字符串(请参阅步骤 4)。有关示例,请参阅配置客户端调制解调器以便与 Cisco 接入服务器结合使用的 HyperTerminal 会话示例部分。
-
键入此初始化字符串,将所需的初始化字符串设置写入 NVRAM:
AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
注意: 此字符串中的 0s 表示零。有关初始化字符串的信息,请参阅本文档的其他部分。
注意: 您应该从调制解调器收到“OK”响应。如果调制解调器不响应,请验证调制解调器硬件和接线均能正常工作。
-
输入此初始化字符串,以便禁用 Echo 和结果代码:
ATE0Q1&W
-
将 DIP 开关 4 和 8 改为向下,并将其他开关保持向上。然后为调制解调器重新通电。
-
从 PC 的 RJ-45 到 DB-9 适配器上拔下 RJ-45 反转电缆,并连接到 ASA 的控制台端口。
注意: 不能使用两端均带有 RJ-45 到 DB-25 适配器(部件号 CAB-25AS-MMOD)的 RJ-45 到 RJ-45 反转扁平电缆,因为其信号对不正确。
-
打开调制解调器。
-
为安全起见,您需要在 ASA 中配置 console timeout 以及 enable password。
!--- Configure console idle timeout for 10 minutes. ASA5510(config)#console timeout 10
如果 ASA 没有 enable password,传入的连接就不能进入启用模式。
!--- In order to allow incoming calls to enter enable mode: ASA5510(config)#enable password asa123
-
使用模拟电话验证电话线已激活并且能正常工作。然后,将模拟电话线连接到调制解调器。
-
通过从另一个设备(例如 PC)启动对 ASA 的 EXEC 调制解调器调用,对调制解调器连接进行测试。
在 PC 上使用终端模拟程序(例如 HyperTerminal),并通过某个 COM 端口来访问 PC 调制解调器。当您通过 COM 端口连接到 PC 调制解调器之后,开始拨号到 ASA。有关示例,请参阅配置客户端调制解调器以便与 Cisco 接入服务器结合使用的 HyperTerminal 会话示例部分。
注意: 控制台端口线没有运行点对点协议 (PPP)。因此,不能使用 Microsoft Windows 拨号网络 (DUN) 拨号建立此连接。
-
一旦建立连接,请在 ASA 上按 <Return>,以便获取提示。
控制台端口问题
将调制解调器连接到 ASA 的控制台端口,有一些优点。然而,其缺点也同样明显。
在控制台端口上连接调制解调器的优点
-
可以远程恢复口令。您可能仍然需要有人在 ASA 现场开关电源。除此以外,它与现场处理 ASA 完全相同。
-
可以方便地将调制解调器连接到没有异步端口的 ASA。如果您需要访问 ASA 以便进行配置或管理,这就很有帮助。
在控制台端口上连接调制解调器的缺点
-
控制台端口不支持 RS232 调制解调器控制(数据集就绪/数据载波检测 (DSR/DCD)、数据终端就绪 (DTR))。因此,当 EXEC 会话终止(注销)时,调制解调器连接不会自动断开。用户需要手动断开会话连接。
-
更严重的是,当调制解调器连接断开后,EXEC 会话并不会自动重置。这会造成一个安全漏洞,使得进入该调制解调器的后续呼叫能够在不输入口令的情况下访问控制台。如果在 ASA 上设置一个很短的 exec-timeout 值,则可以缩小该漏洞。但是,如果安全问题很重要,则应使用能够提供口令提示的调制解调器。
-
与其他异步线路不同,控制台端口不支持硬件(允许发送/发送就绪 (CTS/RTS))流控制。Cisco 建议不要使用流控制。然而,如果出现数据超载,可以启用软件 (XON/XOFF) 流控制。
-
控制台端口缺乏反向 Telnet 功能。如果调制解调器丢失其存储的初始化字符串,则唯一的解决办法就是断开调制解调器与 ASA 的物理连接,然后将其连接到另一个设备(例如 PC)重新进行初始化。
-
不能为按需拨号路由使用控制台端口,因为它没有对应的异步接口。
其他
DIP 开关
下表包含 US Robotics 调制解调器上的 DIP 开关的功能列表:
开 = 向下,关 = 向上
| DIP开关 | 说明 |
|---|---|
| 1 | DTR 替代 |
| 2 | 结果代码数值/信息 |
| 3 | 结果代码显示 |
| 4 | 命令模式本地 Echo 抑制 |
| 5 | 自动应答抑制 |
| 6 | CD 覆盖 |
| 7 | 通电和 ATZ 重置软件默认设置 |
| 8 | AT 命令集识别 |
初始化字符串
为此配置输入的初始化字符串具有以下特性:
AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
| AT 命令 | 说明 |
|---|---|
| &&F0 | 设为出厂默认设置(无流控制) |
| S0=1 | 在第一次响铃时自动应答 |
| &&C1 | 对数据载波检测使用来自远程调制解调器的实际载波状态(建议) |
| &&D2 | 在 DTR 为 OFF 时关闭 DTR,会导致调制解调器断开连接、发送“OK”结果代码并禁用自动应答。(默认) |
| &&R1 | 在同步模式下,CTS 始终为开,并且 RTS 被忽略 |
| &&M4 | ARQ/正常模式 |
| &&K0 | 禁用数据压缩 |
| &&N6 | 最高链路速度(DCE 速率)为 9600 bps |
| &w | 将配置存储到 nvram |
| &&Q1 | 通过异步脱机命令模式来选择同步连接模式 |
RJ-45 到 DB-9 或 DB-25 的电缆引脚布局
RJ-45 反转(控制台)电缆引脚布局
反馈