Cisco的設備管理有很多種方式,如Console、HTTP、TTY、VTY或其它網管軟體,但我們遠程管理較為常用的一種方式肯定是VTY方式。
VTY在Cisco的不同系列產品中,都有一定數量的VTY線路可用,但具體數目則不盡相同。有些路由器交換機產品只有五條線路可用(line vty 0 4),有些交換機路由器設備則提供了十多條,甚至達一千多條,但默認情況下不一定全部啟用。如果您想看一下自己的設備具體支持多少條線路,只需在全局模式下使用命令line vty 0 ?即可查看該設備支持多少條線路。
VTY線路的啟用/關閉:
VTY線路的啟用只能按順序進行,你不可能啟用line vty 10,而不啟用line vty 9。如果想啟用line vty 9,那麼你可以在全局模式(或line模式)下輸入命令line vty 9 ,如:
(config)#line vty 9
這樣系統會自動啟用前面的0-8線路。當然也可以直接輸入line vty 0 9直接啟用10條線路。
如果不想開啟這麼多條線路供用戶使用,那麼只須在全局模式下使用no line vty m [n]命令就可以關閉第m後的線路,此時n這個數值可有可無,因為系統只允許開啟連續的線路號,取消第m號線路會自動取消其後的所有線路。
VTY線路的協議選用:
VTY線路支持多種協議:
acercon Remote console for ACE-based blade
lat DEC LAT protocol
mop DEC MOP Remote Console Protocol
nasi NASI protocol
pad X.3 PAD
rlogin Unix rlogin protocol
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
udptn UDPTN async via UDP protocol
在某一個接口上使用什麼協議可以使用命令:transport {input|ouput}來進行定義:
(config)#line vty 0
(config-line)#transport ? //查看支持哪種方式的協議定義
input Define which protocols to use when connecting to the terminal server
output Define which protocols to use for outgoing connections
preferred Specify the preferred protocol to use
(config-line)#transport input ? //查看在輸入方向上支持的協議
acercon Remote console for ACE-based blade
all All protocols
lat DEC LAT protocol
mop DEC MOP Remote Console Protocol
nasi NASI protocol
none No protocols
pad X.3 PAD
rlogin Unix rlogin protocol
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
udptn UDPTN async via UDP protocol
(config-line)#transport output ? //查看在輸出方向上支持的協議
acercon Remote console for ACE-based blade
all All protocols
lat DEC LAT protocol
mop DEC MOP Remote Console Protocol
nasi NASI protocol
none No protocols
pad X.3 PAD
rlogin Unix rlogin protocol
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
udptn UDPTN async via UDP protocol
(config-line)#transport preferred //定義協議的優先次序
查看某一線路當前支持的協議可以使用命令show line vty m:
#show line vty 9
Tty Typ Tx/Rx A Modem Roty AccO AccI Uses Noise Overruns Int
10 VTY - - - - - 0 0 0/0 -
Line 10, Location: "", Type: ""
Length: 24 lines, Width: 80 columns
Baud rate (TX/RX) is 9600/9600
Status: No Exit Banner
Capabilities: none
Modem state: Idle
Group codes: 0
Special Chars: Escape Hold Stop Start Disconnect Activation
^^x none - - none
Timeouts: Idle EXEC Idle Session Modem Answer Session Dispatch
00:10:00 never none not set
Idle Session Disconnect Warning
never
Login-sequence User Response
00:00:30
Autoselect Initial Wait
not set
Modem type is unknown.
Session limit is not set.
Time since activation: never
Editing is enabled.
History is enabled, history size is 10.
DNS resolution in show commands is enabled
Full user help is disabled
Allowed input transports are lat pad mop telnet rlogin ssh nasi.
Allowed output transports are lat pad mop telnet rlogin ssh nasi.
Preferred transport is lat.
No output characters are padded
No special data dispatching characters
VTY線路的使用:
VTY線路啟用後,並不能直接使用,必須對其進行下面簡單的配置才允許用戶進行登錄。
1、配置登錄密碼
如果想成功登錄到設備,必須在line線路下使用命令password來定義登錄密碼,否則無法成功登錄(註:如果全局已經啟用了相關認證如AAA,則在此不必配置密碼)
注意:在此你配置的密碼是保存在配置文件中的,即使你啟用service password-encryption功能,它加密的方式也是一種可逆的加密,很容易破解,所以在使用過程中儘可能配置一個不同於特權模式中的密碼。
2、登錄驗證
默認情況下,在line vty線路中,默認情況下使用的是系統默認的登錄方式(要看你是否在全局啟用了AAA等),如果你需要在登錄時指定認證模式,你可以使用login authentication命令進行指定。如果你想在登錄時不需要用戶輸入密碼,則可以使用no lgoin命令進行指定(當然這很危險)
特權模式的使用:
通過VTY線路登錄後,會進入用戶模式,如果你需要進行特權模式,那麼你必須配置登錄特權模式的認證。
使用案例:
不同的線路上,可以配置不同的協議,如在line vty 0上配置telnet,在line vty 1上配置ssh,這樣當SSH用戶登錄時,系統會讓line vty 0空閒,而使用line vty 1進行連接。
應用:在line vty 0-1上配置使用telnet協議,使用動態訪問列表,在網絡中進行嚴格的控制,以便只有網絡管理人員才可以使用特殊通信;在2-10上配置SSH協議,用來進行設備管理。
【責任編輯:
張存TEL:(010)68476606】