Cisco的设备管理有很多种方式,如Console、HTTP、TTY、VTY或其它网管软件,但我们远程管理较为常用的一种方式肯定是VTY方式。
VTY在Cisco的不同系列产品中,都有一定数量的VTY线路可用,但具体数目则不尽相同。有些路由器交换机产品只有五条线路可用(line vty 0 4),有些交换机路由器设备则提供了十多条,甚至达一千多条,但默认情况下不一定全部启用。如果您想看一下自己的设备具体支持多少条线路,只需在全局模式下使用命令line vty 0 ?即可查看该设备支持多少条线路。
1. VTY线路的启用/关闭
VTY线路的启用只能按顺序进行,你不可能启用line vty 10,而不启用line vty 9。如果想启用line vty 9,那么你可以在全局模式(或line模式)下输入命令line vty 9 ,如:
1 (config)#line vty 9
这样系统会自动启用前面的0-8线路。当然也可以直接输入line vty 0 9直接启用10条线路。
如果不想开启这么多条线路供用户使用,那么只须在全局模式下使用no line vty m [n]命令就可以关闭第m后的线路,此时n这个数值可有可无,因为系统只允许开启连续的线路号,取消第m号线路会自动取消其后的所有线路。
2. VTY线路的协议选用
VTY线路支持多种协议:
1 acercon Remote console for ACE-based blade 2 lat DEC LAT protocol 3 mop DEC MOP Remote Console Protocol 4 nasi NASI protocol 5 pad X.3 PAD 6 rlogin Unix rlogin protocol 7 ssh TCP/IP SSH protocol 8 telnet TCP/IP Telnet protocol 9 udptn UDPTN async via UDP protocol
在某一个接口上使用什么协议可以使用命令:transport {input|ouput}来进行定义:
1 (config)#line vty 0 2 (config-line)#transport ? //查看支持哪种方式的协议定义 3 input Define which protocols to use when connecting to the terminal server 4 output Define which protocols to use for outgoing connections 5 preferred Specify the preferred protocol to use 6 7 8 (config-line)#transport input ? //查看在输入方向上支持的协议 9 acercon Remote console for ACE-based blade 10 all All protocols 11 lat DEC LAT protocol 12 mop DEC MOP Remote Console Protocol 13 nasi NASI protocol 14 none No protocols 15 pad X.3 PAD 16 rlogin Unix rlogin protocol 17 ssh TCP/IP SSH protocol 18 telnet TCP/IP Telnet protocol 19 udptn UDPTN async via UDP protocol 20 21 (config-line)#transport output ? //查看在输出方向上支持的协议 22 acercon Remote console for ACE-based blade 23 all All protocols 24 lat DEC LAT protocol 25 mop DEC MOP Remote Console Protocol 26 nasi NASI protocol 27 none No protocols 28 pad X.3 PAD 29 rlogin Unix rlogin protocol 30 ssh TCP/IP SSH protocol 31 telnet TCP/IP Telnet protocol 32 udptn UDPTN async via UDP protocol 33 34 (config-line)#transport preferred //定义协议的优先次序 35 36 //查看某一线路当前支持的协议可以使用命令show line vty m: 37 38 #show line vty 9 39 Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int 40 10 VTY - - - - - 0 0 0/0 - 41 42 Line 10, Location: "", Type: "" 43 Length: 24 lines, Width: 80 columns 44 Baud rate (TX/RX) is 9600/9600 45 Status: No Exit Banner 46 Capabilities: none 47 Modem state: Idle 48 Group codes: 0 49 Special Chars: Escape Hold Stop Start Disconnect Activation 50 ^^x none - - none 51 Timeouts: Idle EXEC Idle Session Modem Answer Session Dispatch 52 00:10:00 never none not set 53 Idle Session Disconnect Warning 54 never 55 Login-sequence User Response 56 00:00:30 57 Autoselect Initial Wait 58 not set 59 Modem type is unknown. 60 Session limit is not set. 61 Time since activation: never 62 Editing is enabled. 63 History is enabled, history size is 10. 64 DNS resolution in show commands is enabled 65 Full user help is disabled 66 Allowed input transports are lat pad mop telnet rlogin ssh nasi. 67 Allowed output transports are lat pad mop telnet rlogin ssh nasi. 68 Preferred transport is lat. 69 No output characters are padded 70 No special data dispatching characters
3. VTY线路的使用
1、配置登录密码
如果想成功登录到设备,必须在line线路下使用命令password来定义登录密码,否则无法成功登录(注:如果全局已经启用了相关认证如AAA,则在此不必配置密码)
注意:在此你配置的密码是保存在配置文件中的,即使你启用service password-encryption功能,它加密的方式也是一种可逆的加密,很容易破解,所以在使用过程中尽可能配置一个不同于特权模式中的密码。
设置控制台登录密码的命令是password,若要启用密码检查,即让所设置的密码生效,则还应执行login命令。退出line配置模式,执行exit命令。设置该密码后,以后利用控制台端口登录访问交换机时,就会首先询问并要求输入该登录密码,密码校验成功后,才能进入到交换机的用户EXEC模式。
1 student1#config terminal 2 student1(config)#line console 0 3 student1(config-line)#? 4 exit exit from line configuration mode 5 login Enable password checking 6 password Set a password 7 student1(config-line)#password 654321 8 student1(config-line)#login 9 student1(config-line)#end 10 student1#write
2、登录验证
默认情况下,在line vty线路中,默认情况下使用的是系统默认的登录方式(要看你是否在全局启用了AAA等),如果你需要在登录时指定认证模式,你可以使用login authentication命令进行指定。如果你想在登录时不需要用户输入密码,则可以使用no lgoin命令进行指定(当然这很危险)。
4. 使用案例:
不同的线路上,可以配置不同的协议,如在line vty 0上配置telnet,在line vty 1上配置ssh,这样当SSH用户登录时,系统会让line vty 0空闲,而使用line vty 1进行连接。
应用:在line vty 0-1上配置使用telnet协议,使用动态访问列表,在网络中进行严格的控制,以便只有网络管理人员才可以使用特殊通信;在2-10上配置SSH协议,用来进行设备管理。
5. 应用访问控制列表
ip access-group用在接口下;access-class用在VTY线下
access-class命令前面没有“ip”
例子:
先配置access-list:
1 access-list 1 permit host 192.168.1.1 2 access-list 1 permit host 192.168.2.1
情况一:line vty 0 4(最多允许5个telnet)
1 access-class 1 in
情况二:int f0/0
1 ip access-group 1 in