VTY访问权限配置

最新推荐文章于 2024-07-27 21:29:13 发布

xuzhengzheng32

最新推荐文章于 2024-07-27 21:29:13 发布

阅读量2.6w

点赞数 8

分类专栏：网络文章标签：计算机网络 VTY

网络专栏收录该内容

5 篇文章 0 订阅

订阅专栏

定义

VTY(Virtual Teletype Terminal) 虚拟终端，一种网络设备的连接方式（A command line interfacecreated in a router for a Telnet session. The router is able to generate a VTY dynamically. ）

2 应用领域

在电信运营商的设备维护领域应用广泛。如路由器或者交换机远程登陆的虚拟端口。

一般情况下，VTY线路启用后并不能直接使用,必须对其进行配置才允许用户进行登录。

3 配置方法

1、配置登录验证方式

默认情况下，在line vty线路中，默认情况下使用的是系统默认的登录方式(要看你是否在全局启用了AAA等)，如果你需要在登录时指定认证模式，你可以使用login authentication命令进行指定。如果你想在登录时不需要用户输入密码，则可以使用no login命令进行指定（当然这很危险）

2、配置登陆特权级别

通过VTY线路登录后，会进入用户模式，如果你需要进行特权模式，那么你必须配置登录特权模式的认证。通过级别控制不同的用户对设备的不同操作权限。

3、配置登录密码

如果想成功登录到设备，必须在line线路下使用命令password来定义登录密码，否则无法成功登录（注：如果全局已经启用了相关认证如AAA，不认证方式则在此不必配置密码）

注意:在此你配置的密码是保存在配置文件中的,即使你启用service password-encryption功能,它加密的方式也是一种可逆的加密,很容易破解,所以在使用过程中尽可能配置一个不同于特权模式中的密码。

4 使用案例

VTY在不同的线路上，可以配置不同的协议，如在line vty 0上配置 telnet，在line vty 1上配置 ssh，这样当 SSH用户登录时，系统会让line vty 0空闲，而使用line vty 1进行连接。

在line vty 0-1上配置使用 telnet协议，使用动态访问列表，在网络中进行严格的控制，以便只有网络管理人员才可以使用特殊通信；在2-10上配置SSH协议，用来进行设备管理。

VTY线路的启用/关闭

VTY线路的启用只能按顺序进行，你不可能启用line vty 10，而不启用line vty 9。如果想启用line vty 9，那么你可以在全局模式（或line模式）下输入命令line vty 9 ，如：

(config)#line vty 9

这样系统会自动启用前面的0-8线路。当然也可以直接输入line vty 0 9直接启用10条线路。

如果不想开启这么多条线路供用户使用，那么只须在全局模式下使用no line vty m [n]命令就可以关闭第m后的线路，此时n这个数值可有可无，因为系统只允许开启连续的线路号，取消第m号线路会自动取消其后的所有线路。

5 协议支持

VTY线路支持多种协议：

acercon Remote console for ACE-based blade

lat DEC LAT protocol

mop DEC MOP Remote Console Protocol

nasi NASI protocol

padX.3 PAD

rlogin Unix rlogin protocol

ssh TCP/IPSSH protocol

telnetTCP/IP Telnet protocol

udptn UDP TNasync via UDP protocol

6 配置方法

如右图所示，配置各路由器的IP地址，并使用ping命令确认直连接口相互可以ping通，并在各台路由器上配置路由协议保证全网可达。

VTY链路控制实验拓扑图

需求：禁止192.168.1.0/24 的网络主机 telnetr4

根据需求定义一条访问控制列表：

r4(config)#access-list 1 deny 192.168.1.0 0.0.0.255

r4(config)#access-list 1 permit any

应用该ACL：

r4(config)#line vty 0 4

r4(config-line)#access-class 1 in

验证：

从192.168.1.0/24的网段 telnetR4 路由器，发现被拒绝访问；

从其他网段则可正常 telnetR4。

7 相关考题

考试经常会考到这样的题，配置如下：

R3(config)#line vty 0 4 //必配：0 4 表示同时支持5个会话，从0开始计算到4。

R3(config-line)#password cisco //必配：设置登陆密码

R3(config-line)#no login //可选：表示不需要登陆，

R3(config-line)#^Z

R3#

解答：上面的password cisco 是用来迷惑考生的，有效果的是no login这条，最终的效果是不需要密码即可登陆到设备。但配置权限是取决于是否在全局模式下设置enable password 密码。

思科设备各级密码：
1）  console密码
line console 0
     password cisco
     login                   //启用密码认证，默认没有，需要加上去
     login local         //本地开启用户认证

username xiao password fan //创建本地用户

对用户的权限定义0-15级，最高为15，任何命令都可操作
username xiao privilege 15 password fan //以该用户登入设备后直接进入特权模式

service password-encryption //明文密码加密

2）特权模式密码
enable password xiaofan 优先级低
enable secret cisco 优先级高

思科加密方式：
0 显示的是密码本身
7 密文加密，容易破解
5 复杂密文加密

3）  虚拟通道密码
line vty 0 4
     password xiaofan
     login                      //默认就有
     login local            //开启本地用户认证，使用本地用户数据库
     no login                //不需要密码就可登陆

telnet登入交换机或路由器，若不设置line vty密码，则默认客户端不能远程访问到设备
ctrl + shift + 6一起松开再按X即退出
show users/who  查看当前有哪些用户存在，console段是自己登陆到别的设备，vty段是别人登录到自己这端，*代表自己登陆用的line
show sessions   显示当前所有会话
show line   显示当前所有线路，*代表有用户在线的line
R#disconnect 2  断开由自己建立的会话2
R#clear line 3  关闭别的设备登录到自己的会话3

ssh登入设备：只能以username和password登入
设备端做配置：
ip domain name cisco
crypto key generate
hostname cisco //要有domain name和hostname
username cisco password cisco
在vty下：
login local
transport input ssh //只允许以ssh方式登入，telnet时抓包可以看到用户和密码，ssh采用非对称加密技术，比telnet安全
登入端登入命令：ssh -l cisco 3.3.3.3

实验目的：学习指定源IP可TELNET路由

实验要求：从FA0/0口只有192.168.2.100/24这台PC可以telnet到router上。

首先配置网络可通

--- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: no

Router>en

Router#conf t

Enter configuration commands, one per line. End with CNTL/Z.

Router(config)#hostname r1

//修改路由器名称为r1

r1(config)#no ip domain lookup

//输错命令不进行域名查询