零起点配置PIX防火墙 六大基本命令1(7)

《Cisco PIX防火墙命令参考》中telnet命令页。 您将需在您的VPN客户机上设置两个安全策略。一个用于保护您的Telnet连接，另一个保护您到内部网络的连接。 使用Cisco Secure VPN Client (Using Cisco Secure VPN Client) 本部分仅适用于您使用Cisco Secure VPN Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行 步骤1 创建一个access-list命令语句，定义需从PIX防火墙到使用来自 本地虚拟地址池中目的地址的VPN客户机而进行保护的流量access -list 84 permit ip host 168.20.1.5 10.1.2.0 255.255.255.0 步骤2 定义哪台主机可用Telnet访问PIX防火墙控制台： telnet 10.1.2.0 255.255.255.0 outside 从本地池和外部接口指定VPN客户机的地址。 步骤3 在VPN客户机中，创建一个安全策略，将远程方身份识别IP地址与网关IP地址定义为相同--PIX防火墙外部接口的IP地址。在此例中，PIX防火墙的外部IP地址为168.20.1.5。 步骤4 配置VPN客户机上的其它安全策略，以与PIX防火墙的安全策略相配。 使用Cisco VPN 3000 Client (Using Cisco VPN 3000 Client) 本部分仅适用于您使用Cisco VPN 3000 Client的情况。如想对您到PIX防火墙的外部接口的Telnet连接加密，则将以下步骤作为您PIX防火墙配置的一部分加以执行。在下例中，PIX防火墙外部接口的IP地址为168.20.1.5，Cisco VPN 3000 Client的IP地址来自于虚拟地址池，为10.1.2.0。 定义哪台主机可用Telnet访问PIX防火墙。从本地池和外部接口指定VPN客户机的地址。 telnet 10.1.2.0 255.255.255.0 outside (四)、Trace Channel特性（Trace Channel Feature） debug packet命令将其输出送至Trace Channel。其它所有debug命令则并非如此。Trace Channel的使用改变了您在PIX防火墙控制台或Telnet会话期间浏览屏幕上输出结果的方式。 如果一个debug命令不使用Trace Channel，每个会话都独立运作，意味着任意从会话中启动的命令只出现在该会话中。在默认状态下，不使用Trace Channel的会话的输出是禁用的。 Trace Channel的位置取决于您在控制台会话的同时还运行着一个同步Telnet控制台会话，还是您只使用PIX防火墙串行控制台： o 如果您仅使用PIX防火墙串行控制台，所有debug命令都显示在串行控制台上。 o 如果您有一个串行控制台会话和一个Telnet控制台会话同时访问控制台，那么无论您在何处输入debug命令，输出均显示在Telnet控制台会话上。 o 如果您有2个或更多Telnet控制台会话，则第
一个会话是Trace Channel。如果那一会话关闭，那么串行控制台会话变成Trace Channel。随后是访问控制台的下一Telnet控制台会话成为Trace Channel。 debug 命令在所有Telnet和串行控制台会话间共享。 注意 Trace Channel特性的缺点是