控制VTY (Telnet/SSH) 访问

控制VTY (Telnet/SSH) 访问

  对于大型路由器，要禁止用户以Telnet 或SSH 方式访问它可能很难，因为每个活动接口都允许VTY访问。可创建一个扩展IP 访问控制列表，禁止访问路由器的每个地址。但如果真的这样做，必须将其应用于每个接口的入站方向，对于有数十甚至数百个接口的大型路由器来说，这种解决方案的可扩展性太低了。另外，如果每台路由器都对每个分组进行检查，以防它访问VTY线路，导致的网络延迟将很大。

   一种好得多的解决方案是，使用标准IP访问控制列表来控制对VTY线路的访问。

   这种解决方案为何可行呢?因为将访问控制列表应用于VTY 线路时，不需要指定协议一一访问VTY 就意味着以Telnet或SSH方式访问终端。也不需要指定目标地址，因为你不关心用户将哪个接口的地址用作Telnet会话的目标。你只需控制用户来自何方一他们的源IP地址。

要实现这项功能，请执行如下步骤:

(1) 创建一个标准IP访问控制列表，它只允许你希望的主机远程登录到路由器。

(2) 使用命令access-class in 将该访问控制列表应用于VTY 线路。

下面的示例只允许主机172.16.10.3 远程登录到路由器:

Lab_A(config)#access-list 50 permit host 172.16.10.3

Lab_A(config)#line vty 0 4

Lab_A(config-line)#access-class 50 in

   由于访问控制列表末尾有一条隐式的deny any语句，因此除172.16.10.3外的其他任何主机都不能远程登录到该路由器，而不管它将路由器的哪个E 地址用作目标。你可能想将源地址指定为管理员所属的子网，而不是单台主机;但下面的示例演示了如何在不增加路由器延迟的情况下确保VTY 线路的安全。