為了配置SSH來訪問PIX，我們需要完成兩組獨立服務(wù)。

·配置PIX來接受SSH連接。

·配制我們的SSH客戶端來連接到PIX。

1.下邊開始配置PIX來接受SSH連接

pixfirewall(config)#hostname 21vianet

21vianet (config)#domain-name 21vianet.com

<script language="javascript" src="/CMS/JS/newsad.js"></script>

為PIX分配主機名和域名。要想產(chǎn)生RSA密鑰集，這是必需的。

21vianet (config)#ca generate rsa key 2048

ca zeroize rsa 清空以前配置
產(chǎn)生一對RSA密鑰，并且存到FLASH里。

21vianet (config)#sh ca mypubkey rsa

查看剛剛產(chǎn)生的RSA公鑰。

21vianet (config)#ca save all

產(chǎn)生這些密鑰后，我們必須要把它存到FLASH中，如果這步指定失敗，那么下次重啟后重新加載時，密鑰會被刪除。

21vianet (config)#ssh 211.99.223.50 255.255.255.255 outside

那些主機將允許使用SSH來訪問PIX防火墻。

21vianet (config)#ssh timeout 60

設(shè)置超時時間。

21vianet (config)#password cisco

設(shè)定TELNET口令（這個口令將是我們在客戶端進入PIX的口令）

以上PIX防火墻端配置完畢。

2.以下是配置SSH客戶端來連接到PIX

我們拿SecureCRT 4.1為例子

選擇協(xié)議：ssh1 （因為現(xiàn)在CISCO設(shè)備不支持SSH2）

端口號： 22

hostname：防火墻外口IP

username：pix （一定要是pix）

primary ：password

以上步驟完成，那么我們開始連接到PIX。

點擊connect以后，會讓輸入密碼，這時候你輸入剛才我們設(shè)定的cisco就可以連接上PIX了。

前幾天玩PIX遇到一個小麻煩，想通過SSH的方式登陸到PIX，對PIX進行調(diào)試，可是怎么也弄不好SSH的設(shè)置，后來經(jīng)過幾位兄弟的熱心幫忙，問題終于解決了，我整理了一下，大家一起分享好了。

配置PIX SSH

我們可以使用以下命令來配置本地SSH（非AAA Authentication方式）：
hostname goss-d3-pix515b
domain-name rtp.cisco.com
ca gen rsa key 1024
ssh 0.0.0.0 0.0.0.0 outside
ssh timeout 60
passwd cisco
wr mem

以上命令解釋如下：
第一句配置主機名稱（可選）。
第二句配置域名，這一句必須有。
ca gen rsa key 1024，配置rsa key，如果使用非AAA Authentication方式的ssh，這條命令不能少。
ssh 0.0.0.0 0.0.0.0 outside，配置可以通過外部接口訪問到pix的地址范圍，實際使用中要注意地址范圍，夠用即可，不要開的太大，ssh timeout 60,配置ssh 延時，需要注意的是不同版本的pix，timeout 的是單位是不一樣的，注意區(qū)分minute 和second,passwd cisco配置登陸pix使用的口令為cisco，wr mem保存配置。
需要注意的是wr mem不能保存關(guān)于rsa key的配置，可以使用 ca save all來保存關(guān)于rsa key的配置。
通過這種方式，我們不用為每一個需要登陸到pix的用戶配置用戶名，使用SSH客戶端工具登陸pix的時候，默認的用戶名為pix