Ce document explique comment connecter un modem US Robotics au port de console d'un appareil de sécurité adaptatif (ASA) Cisco doté de ports de console RJ-45. Cette procédure peut aussi être utilisée pour d'autres marques de modems, toutefois vous devez consulter la documentation de votre modem pour obtenir la chaîne d'initialisation équivalente.
Remarque : Vous ne pouvez pas connecter un modem au port AUX de l'ASA comme vous le pouvez sur les routeurs ou les commutateurs. Le port AUX est destiné aux périphériques tels que les serveurs de terminaux.
Remarque : les modems non protégés ne doivent pas être connectés au port de console. Les ports de console ne déconnectent pas les utilisateurs lorsque la détection de porteuse est perdue, ce qui peut laisser un trou de sécurité. Afin d'éviter cela, utilisez un paramètre de temporisation de modem ou de console sécurisé dans l'ASA qui déconnecte l'utilisateur après la période spécifiée dans la commande timeout. Pour plus d'informations sur les avantages et les inconvénients de la connexion d'un modem au port de console, consultez la section Problèmes de port de console de ce document.
Aucune spécification déterminée n'est requise pour ce document.
Les informations de ce document sont basées sur la gamme Cisco 5500 ASA avec les versions 7.0 et ultérieures du logiciel.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
Configurez le modem pour la connectivité de la console. Comme le port de console ne dispose pas de la fonctionnalité Telnet inverse, la chaîne d'initialisation du modem (chaîne d'initialisation) doit être définie avant de connecter le modem au port de console de l'ASA.
Connectez le modem au port de console de l'ASA.
Configurez l'ASA pour accepter les appels entrants.
Ces tâches sont expliquées dans la section Procédure pas à pas de ce document.
Complétez ces étapes afin de connecter un modem US Robotics au port de console d'un Cisco ASA :
Connectez le modem au PC. Cette étape est nécessaire pour accéder au modem pour définir la chaîne d'initialisation.
Attachez un adaptateur RJ-45 à DB-9 sur lequel « Terminal » est marqué au port COM du PC. À partir de l'extrémité RJ-45 de l'adaptateur, connectez un câble RJ-45—RJ-45 à satin plat (référence CAB-500RJ= ), fourni avec chaque Cisco ASA pour les connexions console. Vous avez également besoin d'un adaptateur RJ-45 vers DB-25 marqué « MODEM » (référence CAB-25AS-MMOD) pour connecter le câble enroulé au port DB-25 du modem.
Sur le modem, éteignez le modem, mettez le commutateur DIP sept hors tension, puis allumez le modem afin de restaurer les paramètres d'usine par défaut. Après cela, éteignez à nouveau le modem. Reportez-vous à la section Divers de ce document pour plus d'informations sur les paramètres du commutateur DIP.
Inverse Telnet du PC au modem.
Utilisez un programme d'émulation de terminal sur le PC, tel qu'HyperTerminal, et accédez au modem PC via le port COM auquel vous êtes connecté à l'étape 1. Une fois que vous vous connectez au modem PC via le port COM, vous devez appliquer la chaîne d'initialisation (voir étape 4). Par exemple, référez-vous à la section Exemple de session HyperTerminal de Configuration de modems clients pour fonctionner avec des serveurs d'accès Cisco.
Tapez cette chaîne d'initialisation qui écrit les paramètres de chaîne d'initialisation souhaités dans la mémoire NVRAM :
AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
Note : Les 0 de cette chaîne sont des zéros. Consultez la section Divers de ce document pour plus d'informations sur les chaînes d'initialisation.
Remarque : Vous devez recevoir une réponse OK du modem. Si le modem ne répond pas, vérifiez que le matériel et le câblage du modem fonctionnent correctement.
Entrez cette chaîne d'initialisation afin de désactiver Echo et les codes de résultat :
ATE0Q1&W
Remplacez les commutateurs DIP 4 et 8 par down et maintenez le reste up. Mettez ensuite le modem hors tension puis sous tension.
Débranchez le câble RJ-45 enroulé de l'adaptateur RJ-45 vers DB-9 du PC et fixez-le au port de console de l'ASA.
Remarque : Un câble en satin plat RJ-45 vers RJ-45 enroulé avec des adaptateurs RJ-45 vers DB-25 (référence CAB-25AS-MMOD) aux deux extrémités ne peut pas être utilisé en raison de paires de signaux incorrectes.
Allumez le modem.
Pour des raisons de sécurité, vous devez configurer le délai d'attente de la console ainsi que le mot de passe enable dans l'ASA.
!--- Configure console idle timeout for 10 minutes. ASA5510(config)#console timeout 10
Si l'ASA n'a pas de mot de passe enable, les connexions entrantes ne peuvent pas passer en mode enable.
!--- In order to allow incoming calls to enter enable mode: ASA5510(config)#enable password asa123
Utilisez un téléphone analogique pour vérifier que la ligne téléphonique est active et fonctionne. Connectez ensuite la ligne téléphonique analogique au modem.
Testez la connexion du modem en lançant un appel du modem EXEC à l'ASA à partir d'un autre périphérique (par exemple, un PC).
Utilisez un programme d'émulation de terminal sur le PC, tel qu'HyperTerminal, et accédez au modem PC via l'un des ports COM. Une fois que vous êtes connecté au modem PC via le port COM, lancez la numérotation vers l'ASA. Par exemple, référez-vous à la section Exemple de session HyperTerminal de Configuration de modems clients pour fonctionner avec des serveurs d'accès Cisco.
Remarque : la ligne du port de console n'exécute pas le protocole PPP (Point-to-Point Protocol). Par conséquent, vous ne pouvez pas composer de numéro à l'aide de Microsoft Windows Dialup Networking (DUN) pour cette connexion.
Une fois la connexion établie, appuyez sur <Return> afin d'obtenir l'invite sur l'ASA.
La connexion d'un modem au port de console d'un ASA présente plusieurs avantages. Cependant, les inconvénients sont significatifs.
Vous pouvez récupérer des mots de passe à distance. Il se peut que vous ayez encore besoin de quelqu'un sur site avec l'ASA pour basculer l'alimentation. En plus de cela, c'est identique à être là avec l'ASA.
C'est un moyen pratique de connecter un modem à un ASA sans ports asynchrones. Cela est bénéfique si vous devez accéder à l'ASA pour la configuration ou la gestion.
Le port de console ne prend pas en charge le contrôle de modem RS232 (Data Set Ready/Data Carrier Detect (DSR/DCD), Data Terminal Ready (DTR)). Par conséquent, quand la session EXEC se termine (déconnexion), la connexion au modem n'est pas automatiquement supprimée. L'utilisateur doit déconnecter manuellement la session.
Plus sérieusement, si la connexion au modem est supprimée, la session EXEC ne se réinitialise pas automatiquement. Ceci peut présenter une faille de sécurité, parce qu'un appel ultérieur dans ce modem permet d'accéder à la console sans entrer de mot de passe. Vous pouvez réduire le trou lorsque vous définissez un délai d'attente d'exécution serré sur l'ASA. Cependant, si la sécurité est importante, utilisez un modem qui peut fournir une invite de mot de passe.
À la différence d'autres lignes asynchrones, le port de console ne prend pas en charge le contrôle de flux matériel (Clear to Send/Ready to Send (CTS/RTS). Cisco recommande de ne pas utiliser de contrôle de flux. Si des dépassements de données sont produits, cependant, vous pouvez activer le contrôle de flux logiciel (XON/XOFF).
Il manque au port de console la capacité Telnet inverse. Si le modem perd sa chaîne d'initialisation stockée, la seule solution consiste à déconnecter physiquement le modem de l'ASA et à le connecter à un autre périphérique (par exemple un PC) pour le réinitialiser.
Vous ne pouvez pas utiliser un port de console pour le routage à établissement de connexion à la demande car il n'a aucune interface asynchrone correspondante.
Ce tableau répertorie les fonctions des commutateurs DIP sur un modem US Robotics :
ON = Down, OFF = Up
Commutateur de dérivation | Description |
---|---|
1 | Remplacement DTR |
2 | Codes de résultats verbaux/numériques |
3 | Affichage du code de résultat |
4 | Suppression d'écho local en mode commande |
5 | Suppression automatique des réponses |
6 | Remplacement du CD |
7 | Valeurs par défaut du logiciel de réinitialisation de la mise sous tension et ATZ |
8 | Reconnaissance des ensembles de commandes AT |
La chaîne d'initialisation entrée pour cette configuration présente les caractéristiques suivantes :
AT&FS0=1&C1&D2&H0&R1&B1&M4&K0&N6&W
Commande AT | Description |
---|---|
&F0 | Définir sur les paramètres d'usine (pas de contrôle de flux) |
S0=1 | Réponse automatique sur la première sonnerie |
&C1 | Utilise l'état réel de l'opérateur à partir du modem distant pour la détection de l'opérateur de données (recommandé) |
&D2 | La désactivation de DTR déclenche la déconnexion du modem, envoie le code de résultat OK et désactive la réponse automatique lorsque DTR est désactivé. (par défaut) |
&R1 | En mode synchrone, CTS est toujours activé et RTS est ignoré |
&M4 | Mode ARQ/Normal |
&K0 | Désactiver la compression de données |
&N6 | La vitesse de liaison la plus élevée (débit DCE) est de 9 600 bits/s |
&W | Stockage de la configuration dans la mémoire NVRAM |
&Q1 | Sélectionne le mode de connexion synchrone avec le mode de commande hors ligne asynchrone |
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
04-Dec-2006 |
Première publication |