控制VTY (Telnet/SSH) 访问
2015-04-20 20:59
190 查看
控制VTY (Telnet/SSH) 访问
对于大型路由器,要禁止用户以Telnet 或SSH 方式访问它可能很难,因为每个活动接口都允许VTY访问。可创建一个扩展IP 访问控制列表,禁止访问路由器的每个地址。但如果真的这样做,必须将其应用于每个接口的入站方向,对于有数十甚至数百个接口的大型路由器来说,这种解决方案的可扩展性太低了。另外,如果每台路由器都对每个分组进行检查,以防它访问VTY线路,导致的网络延迟将很大。
一种好得多的解决方案是,使用标准IP访问控制列表来控制对VTY线路的访问。
这种解决方案为何可行呢?因为将访问控制列表应用于VTY 线路时,不需要指定协议一一访问VTY 就意味着以Telnet或SSH方式访问终端。也不需要指定目标地址,因为你不关心用户将哪个接口的地址用作Telnet会话的目标。你只需控制用户来自何方一他们的源IP地址。
要实现这项功能,请执行如下步骤:
(1) 创建一个标准IP访问控制列表,它只允许你希望的主机远程登录到路由器。
(2) 使用命令access-class in 将该访问控制列表应用于VTY 线路。
下面的示例只允许主机172.16.10.3 远程登录到路由器:
Lab_A(config)#access-list 50 permit host 172.16.10.3
Lab_A(config)#line vty 0 4
Lab_A(config-line)#access-class 50 in
由于访问控制列表末尾有一条隐式的deny any语句,因此除172.16.10.3外的其他任何主机都不能远程登录到该路由器,而不管它将路由器的哪个E 地址用作目标。你可能想将源地址指定为管理员所属的子网,而不是单台主机;但下面的示例演示了如何在不增加路由器延迟的情况下确保VTY 线路的安全。
对于大型路由器,要禁止用户以Telnet 或SSH 方式访问它可能很难,因为每个活动接口都允许VTY访问。可创建一个扩展IP 访问控制列表,禁止访问路由器的每个地址。但如果真的这样做,必须将其应用于每个接口的入站方向,对于有数十甚至数百个接口的大型路由器来说,这种解决方案的可扩展性太低了。另外,如果每台路由器都对每个分组进行检查,以防它访问VTY线路,导致的网络延迟将很大。
一种好得多的解决方案是,使用标准IP访问控制列表来控制对VTY线路的访问。
这种解决方案为何可行呢?因为将访问控制列表应用于VTY 线路时,不需要指定协议一一访问VTY 就意味着以Telnet或SSH方式访问终端。也不需要指定目标地址,因为你不关心用户将哪个接口的地址用作Telnet会话的目标。你只需控制用户来自何方一他们的源IP地址。
要实现这项功能,请执行如下步骤:
(1) 创建一个标准IP访问控制列表,它只允许你希望的主机远程登录到路由器。
(2) 使用命令access-class in 将该访问控制列表应用于VTY 线路。
下面的示例只允许主机172.16.10.3 远程登录到路由器:
Lab_A(config)#access-list 50 permit host 172.16.10.3
Lab_A(config)#line vty 0 4
Lab_A(config-line)#access-class 50 in
由于访问控制列表末尾有一条隐式的deny any语句,因此除172.16.10.3外的其他任何主机都不能远程登录到该路由器,而不管它将路由器的哪个E 地址用作目标。你可能想将源地址指定为管理员所属的子网,而不是单台主机;但下面的示例演示了如何在不增加路由器延迟的情况下确保VTY 线路的安全。
相关文章推荐
- 基于(cisco)ACS的mac地址访问控制和telnet,ssh的访问控制
- SSG140 web、telnet、ssh无法访问,仅支持console
- 详解Linux中SSH远程访问控制
- LINUX 6——安装SSH远程访问控制
- 详解Linux中SSH远程访问控制
- Huawei华为交换机 consolep密码和vty密码配置telnet,ssh
- SSH服务远程访问及控制(1基于口令的安全验证)
- 对用户登陆ftp、ssh、telnet的权限进行控制
- 演示:限制VTY(Telnet)的访问 推荐
- linux系统禁止root用户通过ssh登录及ssh的访问控制
- SSH服务远程访问及控制(2.基于密钥的安全验证)
- SSH远程访问及控制
- ssh访问控制,多次失败登录即封掉IP,防止暴力破解
- security 01: Linux基本防护 、 用户切换与提权 、 SSH访问控制 、 总结和答疑
- 百晓生带你玩转linux系统服务搭建系列----SSH远程访问及控制
- 控制远程Cisco路由器 将Telnet改用SSH
- SSH远程访问及控制
- 访问列表与telnet访问控制
- 使用SSH和访问控制列表配置VTY访问
- linux系统禁止root用户通过ssh登录及ssh的访问控制