Cisco Telnet

Материал из Xgu.ru

Перейти к: навигация, поиск


Содержание

[править] Базовая настройка Telnet

Настройка доступа telnet:

dyn1(config)# line vty 0 15
dyn1(config-line)# login  
dyn1(config-line)# password cisco

При подключении сразу попасть в привилегированный режим:

dyn1(config)# line vty 0 15
dyn1(config-line)# privilege level 15

[править] ACL

Для ограничения доступа к маршрутизатору по протоколу telnet можно использовать ACL и применить их к vty.

Например, настроен ACL, который разрешает подключаться к маршрутизатору по telnet только с адреса 4.4.4.4:

dyn5(config)# access-list 10 permit 4.4.4.4
dyn5(config)# line vty 0 4
dyn5(config-line)# access-class 10 in

Подключившись по telnet, например, с адреса 4.4.4.4 к маршрутизатору dyn5, можно затем из этой сессии инициировать telnet сессию к другому маршрутизатору. Для того чтобы контролировать куда можно подключаться изнутри сессии telnet необходимо настроить ACL в исходящем направлении. Например, подключившись к маршрутизатору dyn5 по telnet, инициировать исходящую сессию telnet можно будет только на адрес 1.1.1.1:

dyn5(config)# access-list 11 permit 1.1.1.1
dyn5(config)# line vty 0 4
dyn5(config-line)# access-class 11 out

Если выполняется попытка подключиться к неразрешенному адресу, то появляется такое сообщение:

dyn5# telnet 192.168.1.1
Trying 192.168.1.1 ...
% Connections to that host not permitted from this terminal

[править] Дополнительные параметры при подключении telnet

Обычно при подключении telnet маршрутизатор в качестве адреса отправителя выбирает адрес интерфейса, который ближе всего к получателю. Однако это поведение можно изменить, как для конкретной сессии, так и в принципе для всех подключений telnet.

Указание интерфейса для текущей сессии telnet:

dyn1# telnet 192.168.2.5 /source-interface lo0

Указание интерфейса для всех сессий telnet:

dyn1(config)# ip telnet source-interface lo0 

[править] Разрыв соединения

Настройка таймаута после которого, независимо от активности, пользователь будет отключен (в минутах):

dyn1(config)# line vty 0 15
dyn1(config-line)# absolute-timeout 10

Отображение предупреждающего сообщения за 30 секунд до того как сессия будет разорвана из-за истечения интервала absolute-timeout:

dyn1(config)# line vty 0 15
dyn1(config-line)# logout-warning 30 

Пример сообщения:

dyn3# telnet 192.168.2.1
Trying 192.168.2.1 ... Open


User Access Verification

Username: user1
Password: 

dyn1#
*
*
* Line timeout expired
*
*
[Connection to 192.168.2.1 closed by foreign host]

[править] Предотвращение залипания соединений

Для очистки зависших Telnet сессий используется механизм TCP-keepalives
Зачем это нужно? Порой возникают залипшие соединения сессий telnet. И при последующих попытках соединений - оно не устанавливается, при этом выдается сообщение "Connection refused by remote host" Для предотвращения данной ситуации в конфигурацию роутера необходимо внести изменения:

Router# conf t
Router(config)# service tcp-keepalives-in
Router(config)# service tcp-keepalives-out

[править] Настройка нестандартных портов для telnet и привязка к конкретной vty

Указание нестандартного порта для telnet:

router(config)# line vty 3
router(config-line)# rotary 3

После указания rotary 3 для того чтобы попасть по telnet на vty 3, надо заходить на порт 3000+3.


Пример конфигурации маршрутизатора:

hostname dyn5
!
username cisco password 0 cisco
!
interface FastEthernet0/0
 ip address 192.168.5.5 255.255.255.0
!
!
line vty 0 2
 login local
line vty 3
 login local
 rotary 3
!

Подключение с соседнего маршрутизатора (к порту 3000+rotary):

dyn3# telnet 192.168.5.5 3003
Trying 192.168.5.5, 3003 ... Open


User Access Verification

Username: cisco
Password:
dyn5>

Пользователь подключился к vty 3:

dyn5#sh users
    Line       User       Host(s)              Idle       Location
*  0 con 0                idle                 00:00:00
   5 vty 3     cisco      idle                 00:01:08 192.168.5.3

  Interface    User               Mode         Idle     Peer Address



Источник — «http://xgu.ru/wiki/Cisco_Telnet»