SSH 打开旧 PIX 防火墙的外部

网络工程 思科 像素
2021-07-11 03:00:14

一个分支机构在他们的 PIX 防火墙前面有一个小的 2950(所以故障转移可以插入它。上游路由器(由电信公司拥有)只有一个输入端口)。我正在尝试远程管理设备。

PIX 是办公室内所有事物的网关:10.1.128.254 交换机具有管理设置:10.1.128.249

我为远程管理 (SSH) 添加了 ACL 许可,以及专门用于管理此设备的静态路由。做这两件事让我能够 ping 设备(从 PIX),但不能从内部的机器 .. 通过 SSH(腻子)远程访问仍然不成功。

我已经从内部对 10.1.128.249 进行了数据包跟踪,并且没有什么可以阻止我看到的这种通信。提前谢谢大家!

编辑:假设我无法将其连接到内部网络(物理上)。

1个回答

我通常使用专用管理接口设置此类 DMZ 交换机,该接口具有对内部网络的第二层访问权限,以便管理访问完全绕过防火墙。由于 2950 没有专用的管理接口,您可以简单地指定一个单独的 VLAN 进行管理,配置其 SVI,并分配给连接到内部网络的接入端口。这可确保您在防火墙出现故障时可以访问交换机以进行故障排除。

(请注意,来自交换机的 Internet 访问将通过内部网络、防火墙,并通过交换机本身传回;它没有直接的外部连接。)

其它你可能感兴趣的问题
上一篇接口能力:CISCO 2960S vs WS-X4648 下一篇HP Procurve 5406 通过 VLAN 和 STP 进行流量控制