Utilizând un ACL pentru Control VTY Access

Cisco recomandă utilizarea SSH pentru conexiunile administrative la routere și switch-uri. Dacă imaginea software Cisco IOS de pe router nu suportă SSH , puteți îmbunătăți securitatea liniilor administrative prin restricționarea accesului la VTY. Restricționarea accesului VTY este o tehnică ce permite să definiți căror adrese IP le este permis accesul Telnet către procesul EXEC al router-ului. Puteți controla care stație de lucru administrativă sau rețea vă gestionează router-ul cu un ACL și o declarație access-class configurată pe liniile VTY. Puteți folosi , de asemenea , această tehnica cu SSH pentru a îmbunătăți securitatea accesului administrativ.

Comanda access-class configurată în modul de configurare al liniei restricționtează conexiunile de intrare și ieșire dintre un VTY anume și adresele din această listă.

Listele de acces standard și extended se aplică pachetelor ce trec prin router. Ele nu sunt concepute pentru a bloca pachete care originzează din router. Un ACL extins Telnet de ieșire nu previne sesiunile Telnet inițiate de către router , în mod implicit.

Filtrarea traficului Telnet sau SSH este tipic considerată o funcțiunie IP ACL extins pentru că filtrează un protocol de nivel înalt. În orice caz, deoarece comanda access-class este utilizată pentru a filtra sesiunile de intrare sau ieșire Telnet/SSH prin adresa sursă , un ACL standard poate fi utilizat.

Sintaxa comenzii access-class este:

Router(config-line)# access-class access-list-number { in [ vrf-also ] | out }

Parametrul in restricționează conexiunile de intrare dintre adresele din lista de acces și dispozitivul Cisco , în timp ce parametrul out restricționează conexiunile de ieșire dintre un dispozitiv Cisco anume și adresele din această listă.

Un exemplu care permite un interval de adrese pentru a accesa liniile VTY 0-4 este prezentat în Figura 1. ACL-ul din figură este configurat să permită reațaua 192.168.10.0 să acceseze liniile VTY 0-4 dar neagă toate celelalte rețele.

Următoarele ar trebui considerate când configurați liste de acces pe VTY-uri:

Folosiți Syntax Checker în Figura 2 pentru a exersa securizarea accesului VTY.