如何在 Cisco 交换机和路由器上禁用 Telnet?
计算机网络是一组使用电缆等传输方法相互连接的设备。这些设备可以是计算机、打印机、扫描仪、传真机等。拥有计算机网络的目的是发送和接收数据。通过网络存储在其他设备上。这些设备称为节点。
Telnet 是一种网络协议,用于访问几乎一台计算机并提供两个通道,即两个设备之间基于文本的通信通道。 Telnet 是一种客户端-服务器协议,可用于在远程计算机(通常是服务器)上打开命令行。 Telnet 使用传输控制协议/Internet (TCP/IP) 创建远程时间。在 Web 上,超文本传输协议 (HTTP) 和文件传输协议 (FTP) 仅允许用户请求远程计算机上的某些文件,而通过 Telnet,用户可以在该计算机上使用正确的应用程序和数据以普通用户身份登录。
交换机和路由器:
路由器用于创建和维护 LAN 以及进入和离开相应网络的管理数据。此外,路由器在 OSI 模型的网络层上运行。交换机连接单个网络上的各种设备,并在 OSI 模型的数据链路层中运行。
要了解有关交换机与路由器的更多信息,请阅读路由器和交换机之间的区别一文。
如何关闭 Telnet?
在通信设备上禁用 Telnet 并使用 SSH 是提高整个网络安全性的一个持续步骤。这些天需要加密通信,这是许多专家在过去几年中不太关注的。有多种方法可以管理 Cisco 设备。以下是最受欢迎的:
- 直接控制台访问:使用特殊的串行电缆直接连接到控制台端口并访问设备上的命令行界面 (CLI)。
- Telnet 访问:从网络远程控制设备。提供对设备的有保证的命令行访问,但不是所有加密连接。
- SSH 访问:远程设备管理构建网络(例如 Telnet),但所有流量都使用 SSH 协议加密。
还有其他管理方法(取决于设备),例如 HTTPS Web 访问、应用程序管理等,但以上三种是最常见的选项。
首先让我们看看如何在集成了路由器和交换机的 Cisco IOS 设备上禁用 Telnet。每个 Telnet 访问设备(同样适用于 SSH)使用单个 VTY 线路(Visual Airport 线路)。我们需要记住,较旧的 IOS 版本(12.2 之前)有 5 条 VTY 线路(编号从 0 到 4),而较新的 IOS 版本(12.2 之后)有 16 条 VTY 线路(编号从 0 到 15)。因此,要禁用 Telnet,您需要在所有 VTY 线路下方执行该操作。下面的配置将导致仅使用正确的控制台进行更改/路由的连接。
CiscoDevice(config)# line vty 0 15
<= Command to Configure all of 16 VTY lines
CiscoDevice(config-line)# transport input none
<= Command to disable Telnet and others
Telnet – 受控访问:
控制对路由器和交换机的 Telnet 访问的另一种方法是在 VTY 线路上使用访问控制列表 (ACL),并且只允许特定的管理员 IP 进行连接。这样您就不会完全关闭 Telnet,而是控制对管理通道的访问。
CiscoDevice(config)# enable secret strongenablepass
<– Used to configure enabled password CiscoDevice(config)
# access-list 10 permit 192.168.1.0 0.0.0.255
<– Used to create ACL CiscoDevice(config)
# line vty 0 15 CiscoDevice(config-line)
# access-class 10 in
<– Used to Allow subnet above only to access t
he device via Telnet CiscoDevice(config-line)
# password strongtelnetpass
<– Used to configure password CiscoDevice(config-line)
# login <– Login using password
启用 SSH:
通过启用 SSH 并在设备的 VTY 线路上配置传输协议,Telnet 将自动禁用。
CiscoDevice(config)
# enable secret strongenablepass CiscoDevice(config)
# username admin password adminpass CiscoDevice(config)
# hostname Newme Newme(config)
# ip domain-name mycompany.com
<– used for configuring hostname and domain
name are necessary for creating SSH keys Newme(config)
# ip ssh version 2 Newme(config)
# crypto key generate rsa modulus 4096 Newme(config)
# ip ssh time-out 100 Newme(config)
# ip ssh authentication-retries 4 Newme(config)
# line vty 0 15 Newme(config-line)# transport input ssh
<– performs the required operation Newme(config-line)# login local