图10.33限制VTY访问的实验环境解读.PDFVIP

10. 4 配置设备访问的安全 本章前面的几个章节主要在描述使用各种访问控制列表，包括基础类型的访问控制列表 和高级访问控制列表来对企业的业务流量进行过滤，而本小节主要以描述控制访问设备的安 全，其中包括 Telnet 访问的安全、控制线的安全、登陆密码的强度、交换机端口安全等。 10．4．1 演示：限制 VTY（Telnet）的访问 在进行 Telnet 访问时，虽然有登陆的用户名与密码来对访问者进行身份验证，但是除 此之外，Telnet 将允许任何来源的 IP接点访问网络设备，无法加以限制访问来源，这将为 telnet 登陆网络设备造成安全威胁，所以本小节主要描述如何限制 VTY 访问的安全。 演示目标：配置 VTY 线路访问的安全。 演示环境：如下图 10.33所示的实验环境。 图 10.33 限制 VTY 访问的实验环境 演示背景：首先完成上图所示实验环境的网络基础配置，其中包括为路由器 R1、R2、以及 计算机配置 IP 地址，并在网络中启动路由，确保网络上每个 IP 节点都可以相互 Ping 通， 然后配置路由器 R1 允许被 telnet 的功能，在完成配置后，确保实验环境中的任意 IP 节点 都可以成功的Telnet路由器R1，然后，使用VTY的控制访问方式来实现，只允许192.168.2.2 和 192.168.2.100 的 IP 节点可以 telnet 路由器 R1，而其它 IP 节点，比如 172.16.2.1 无 法通过 telnet 访问路由器 R1。 演示步骤： 第一步：在完成对实验环境的基础配置后，配置路由器 R1的 telnet 功能，然后在路 由器 R2 上完成对路由器 R1 的 telnet 过程，如下图 10.34所示，这里需要注意的是无论是 telnet 目标地址 192.168.2.1 或者 172.16.1.1，事实上都是在 telnet 路由器 R1，因为这 两个 IP 地址都是路由器 R1 上的IP 地址，只是处于不同的接口而已，记住，只要这两个 IP 地址的路由可达，通信无故障，使用两个地址中的任意 IP都可以 telnet 到路由器R1。 图 10.34 在路由器 R2 上测试到 R1 的telnet 过程 注意：根据实验环境，此时路由器 R2 telnet R1 的源地址是 192.168.2.2，在默认情 况下，如果没有特别申明源地址，那么将会把路由器 R2 距离目标路由器 R1 最近的接口 IP 地址作为 Telnet 路由器 R1 的源 IP 地址，如果需申明 Telnet 过程中的源 IP 地址，可以使 用下面的方法来完成。 如下图10.35所示的过程，分别申明路由器 R2 使用不同的源地址（E1/0 192.168.2.2 和 Lo1 172.16.2.1）Telnet 路由器 R2，由于现在路由器 R1 并没有对 Telnet 的访问来源作 限制所以使用任意的源 IP 地址都可以 telnet 路由器 R1，如果配置没有问题，其中包括计 算机 A 也可以成功的 Telnet 路由器R1。 图 10.35 在路由器 R2 上使用不同的源地址来测试到 R1 的 telnet 过程 第二步：现在到路由器 R1 来对 VTY 的访问作限制，要求只允许路由器 R2 使用 192.168.2.2 的源 IP 地址和主机 A（192.168.2.100）可以 Telnet 路由器 R1，其它源地址 都将被作为非法地址，无法完成到路由器 R1 的Telnet。具体配置如下所示： R1(config)#access-list 1 permit host 192.168.2.2 * 允许 192.168.2.2 R1(config)#access-list 1 permit host 192.168.2.10