演示：限制VTY（Telnet）的访问

演示：限制VTY（Telnet）的访问

技术交流与答疑请加入群：1952289

在进行Telnet访问时，虽然有登陆的用户名与密码来对访问者进行身份验证，但是除此之外，Telnet将允许任何来源的IP接点访问网络设备，无法加以限制访问来源，这将为telnet登陆网络设备造成安全威胁，所以本小节主要描述如何限制VTY访问的安全。

演示目标：配置VTY线路访问的安全。

演示环境：如下图10.33所示的实验环境。

演示背景：首先完成上图所示实验环境的网络基础配置，其中包括为路由器R1、R2、以及计算机配置IP地址，并在网络中启动路由，确保网络上每个IP节点都可以相互Ping通，然后配置路由器R1允许被telnet的功能，在完成配置后，确保实验环境中的任意IP节点都可以成功的Telnet路由器R1，然后，使用VTY的控制访问方式来实现，只允许192.168.2.2和192.168.2.100的IP节点可以telnet路由器R1，而其它IP节点，比如172.16.2.1无法通过telnet访问路由器R1。

演示步骤：

第一步：在完成对实验环境的基础配置后，配置路由器R1的telnet功能，然后在路由器R2上完成对路由器R1的telnet过程，如下图10.34所示，这里需要注意的是无论是telnet目标地址192.168.2.1或者172.16.1.1，事实上都是在telnet路由器R1，因为这两个IP地址都是路由器R1上的IP地址，只是处于不同的接口而已，记住，只要这两个IP地址的路由可达，通信无故障，使用两个地址中的任意IP都可以telnet到路由器R1。

注意：根据实验环境，此时路由器R2 telnet R1的源地址是192.168.2.2，在默认情况下，如果没有特别申明源地址，那么将会把路由器R2距离目标路由器R1最近的接口IP地址作为Telnet路由器R1的源IP地址，如果需申明Telnet过程中的源IP地址，可以使用下面的方法来完成。

如下图10.35所示的过程，分别申明路由器R2使用不同的源地址（E1/0 192.168.2.2和Lo1 172.16.2.1）Telnet路由器R2，由于现在路由器R1并没有对Telnet的访问来源作限制所以使用任意的源IP地址都可以telnet路由器R1，如果配置没有问题，其中包括计算机A也可以成功的Telnet路由器R1。

第二步：现在到路由器R1来对VTY的访问作限制，要求只允许路由器R2使用192.168.2.2的源IP地址和主机A（192.168.2.100）可以Telnet路由器R1，其它源地址都将被作为非法地址，无法完成到路由器R1的Telnet。具体配置如下所示：

R1(config)#access-list 1 permit host 192.168.2.2 * 允许192.168.2.2

R1(config)#access-list 1 permit host 192.168.2.100 * 允许192.168.2.100

R1(config)#line vty0 4 * 进入VTY线路0-4。

R1(config-line)#access-class1 in * 将访问控制列表1应用到VTY线路的进入方向。

R1(config-line)#exit

第三步：在完成上述配置后，现在再次使用不同的源IP地址来Telnet路由器R1，如下图10.36所示，使用172.16.2.1作为源IP登陆路由器R1被拒绝，而使用192.168.2.2作为源IP登陆路由器R1成功，计算机A登陆路由器R1也应该成功。

本文出自 “无名的基督” 博客，转载请与作者联系！