使用 ACL 控制 VTY 访问

思科推荐对路由器和交换机的管理连接使用 SSH。 如果路由器上的 Cisco IOS 软件映像不支持 SSH,那您可以通过限制 VTY 访问来改善管理线路的安全性。 通过限制 VTY 访问,您可以定义哪些 IP 地址能够通过 Telnet 访问路由器 EXEC 进程。 您可以通过 ACL 和 VTY 线路上配置的 access-class 语句来控制用于管理路由器的管理工作站或网络。 您也可以将该技术与 SSH 一同使用,以进一步提高管理访问的安全性。

线路配置模式中配置的 access-class 命令可限制特定 VTY(接入思科设备)与访问列表中地址之间的传入和传出连接。

标准访问列表和扩展访问列表应用于经过路由器的数据包。 它们并非设计用于阻止路由器内部产生的数据包。 默认情况下,出站 Telnet 扩展 ACL 不会阻止由路由器发起的 Telnet 会话。

过滤 Telnet 或 SSH 流量通常被认为是扩展 IP ACL 的功能,因为它会过滤较高级别的协议。 但是,由于 access-class 命令用于按源地址过滤传入或传出 Telnet/SSH 会话,因此可以使用标准 ACL。

access-class 命令的语法是:

Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }

参数 in 限制访问列表中的地址和思科设备之间的传入连接,而参数 out 则限制特定思科设备与访问列表中地址之间的传出连接。

一个允许一组地址访问 VTY 线路 0 到 4 的示例如图 1 所示。 将图中的 ACL 配置为允许网络 192.168.10.0 访问 VTY 线路 0 到 4,但拒绝所有其他网络。

当配置 VTY 上的访问列表时,应该考虑以下几点:

使用图 2 中的语法检查器练习保护 VTY 访问。