套用領域 一般情況下,VTY線路啟用後並不能直接使用,必須對其進行配置才允許用戶進行登錄。
配置方法 1、配置登錄驗證方式
默認情況下,在line vty線路中,默認情況下使用的是系統默認的登錄方式(要看你是否在全局啟用了AAA等),如果你需要在登錄時指定認證模式,你可以使用login authentication命令進行指定。如果你想在登錄時不需要用戶輸入密碼,則可以使用no login命令進行指定(當然這很危險)
2、配置登入特權級別
通過VTY線路登錄後,會進入用戶模式,如果你需要進行特權模式,那么你必須配置登錄特權模式的認證。通過級別控制不同的用戶對設備的不同操作許可權。
3、配置登錄密碼
如果想成功登錄到設備,必須在line線路下使用命令password來定義登錄密碼,否則無法成功登錄(註:如果全局已經啟用了相關認證如AAA,不認證方式則在此不必配置密碼)
注意:在此你配置的密碼是保存在配置檔案中的,即使你啟用service password-encryption功能,它加密的方式也是一種可逆的加密,很容易破解,所以在使用過程中儘可能配置一個不同於特權模式中的密碼。
使用案例 VTY在不同的線路上,可以配置不同的協定,如在line vty 0上配置
telnet ,在line vty 1上配置
ssh ,這樣當
SSH 用戶登錄時,系統會讓line vty 0空閒,而使用line vty 1進行連線。
在line vty 0-1上配置使用telnet協定,使用動態
訪問列表 ,在網路中進行嚴格的控制,以便只有網路管理人員才可以使用特殊通信;在2-10上配置SSH協定,用來進行設備管理。
VTY線路的啟用/關閉
VTY線路的啟用只能按順序進行,你不可能啟用line vty 10,而不啟用line vty 9。如果想啟用line vty 9,那么你可以在全局模式(或line模式)下輸入命令line vty 9 ,如:
(config)#line vty 9
這樣系統會自動啟用前面的0-8線路。當然也可以直接輸入line vty 0 9直接啟用10條線路。
如果不想開啟這么多條線路供用戶使用,那么只須在全局模式下使用no line vty m [n]命令就可以關閉第m後的線路,此時n這個數值可有可無,因為系統只允許開啟連續的線路號,取消第m號線路會自動取消其後的所有線路。
協定支持 VTY線路支持多種協定:
acercon Remote console for
ACE -based blade
mop DEC MOP Remote Console Protocol
nasi NASIprotocol
rlogin Unix rloginprotocol
配置方法 如右圖所示,配置各
路由器 的IP位址,並使用ping命令確認直連線口相互可以ping通,並在各台路由器上配置
路由協定 保證全網可達。需求:禁止192.168.1.0/24 的網路
主機 telnet r4
VTY鏈路控制實驗拓撲圖 r4(config)#access-list 1 deny 192.168.1.0 0.0.0.255
r4(config)#access-list 1 permit any
套用該ACL:
r4(config)#line vty 0 4
r4(config-line)#access-class 1 in
驗證:
相關考題 考試經常會考到這樣的題,配置如下:
R3(config)#line vty 0 4 //必配:0 4 表示同時支持5個會話,從0開始計算到4。
R3(config-line)#password cisco //必配:設定登入密碼
R3(config-line)#no login //可選:表示不需要登入,
R3(config-line)#^Z
R3#
解答:上面的password cisco 是用來迷惑考生的,有效果的是no login這條,最終的效果是不需要密碼即可登入到設備。但配置許可權是取決於是否在全局模式下設定enable password 密碼。