VTY
VTY是Cisco的设备管理的一种方式。
VTY[(Virtual Type Terminal) A command line interface created in a router for a Telnet session. The router is able to generate a VTY dynamically. ]虚拟终端连接
VTY线路启用后,并不能直接使用,必须对其进行下面简单的配置才允许用户进行登录。
1、配置登录密码
如果想成功登录到设备,必须在line线路下使用命令password来定义登录密码,否则无法成功登录(注:如果全局已经启用了相关认证如AAA,则在此不必配置密码)
注意:在此你配置的密码是保存在配置文件中的,即使你启用service password-encryption功能,它加密的方式也是一种可逆的加密,很容易破解,所以在使用过程中尽可能配置一个不同于特权模式中的密码。
vty是一种端口,0 4 表示是0到4号口,5 15 表示是5到15号口。举例:vty 0 4说的是从0到4
一共5条线路;vty 5 15说的是从5 到15 共11条线路。
2、登录验证
默认情况下,在line vty线路中,默认情况下使用的是系统默认的登录方式(要看你是否在全局启用了AAA等),如果你需要在登录时指定认证模式,你可以使用login authentication命令进行指定。如果你想在登录时不需要用户输入密码,则可以使用no login命令进行指定(当然这很危险)
特权模式的使用:通过VTY线路登录后,会进入用户模式,如果你需要进行特权模式,那么你必须配置登录特权模式的认证。
使用案例
不同的线路上,可以配置不同的协议,如在line vty 0上配置telnet,在line vty 1上配置ssh,这样当SSH用户登录时,系统会让line vty 0空闲,而使用line vty 1进行连接。
应用:在line vty 0-1上配置使用telnet协议,使用动态访问列表,在网络中进行严格的控制,
以便只有网络管理人员才可以使用特殊通信;在2-10上配置SSH协议,用来进行设备管理。
3、VTY线路的启用/关闭
VTY线路的启用只能按顺序进行,你不可能启用line vty 10,而不启用line vty 9。如果想启用line vty 9,那么你可以在全局模式(或line模式)下输入命令line vty 9 ,如:
(config)#line vty 9
这样系统会自动启用前面的0-8线路。当然也可以直接输入line vty 0 9直接启用10条线路。
如果不想开启这么多条线路供用户使用,那么只须在全局模式下使用no line vty m [n]命令就可以关闭第m后的线路,此时n这个数值可有可无,因为系统只允许开启连续的线路号,取消第m号线路会自动取消其后的所有线路。
4、VTY线路的协议选用
VTY线路支持多种协议:
acercon Remote console for ACE-based blade
lat DEC LAT protocol
mop DEC MOP Remote Console Protocol
nasi NASI protocol
pad X.3 PAD
rlogin Unix rlogin protocol
ssh TCP/IP SSH protocol
telnet TCP/IP Telnet protocol
udptn UDPTN async via UDP protocol
********************************************************************************************
对vty 的几点理解
Virtual typle terminal.虚拟类型终端,我理解主要是给telnet到路由器、交换机而用的:user-vty 0 4 (一共有个5条虚拟连接,交换机有16个连接),其实Linux Unix也照样有。
常见配置的原理:
line是进入行模式的命令,Console、AUX、VTY、TTY……都是行模式的接口,需要用line配置。
VTY是虚拟终端口,使用Telnet时进入的就是对方的VTY口。
路由器上有5个VTY口,分别0、1、2、3、4,如果想同时配置这5口,就line vty 0 4例子说明,建立及理论原因——看看下面的配置:
line vty 0
password 7 10440812000E (123,假设)
login
line vty 1 4
password 7 0119070F5E12 (321,其实我2个密码一样,3550上,加密后不知道为什么得到的不一样,另外2950上我发现是一样的..自己汗…)
login
这样登入设备的第一个连接用 123 为密码, 第二个连接登入进去时为 321,后面的2-5个连接都时 321 的密码,因为第一次登入会验证vty 0 的配置,第二次验证 vty 1,类推….
—————————————————————————————–
在看看这个配置:
line vty 0 4
password 7 10440812000E
login
这个登入的设备的密码始终是一样…(总结 vty 0 4 ,其实就是0-4 的意思..汗…)
—
—————————————————————————————-
还看:
line vty 0
password 7 10440812000E
no login
line vty 1 4
password 7 0119070F5E12
no login
line vty 5 15
exec-timeout 0 0
password 7 070520474B10
login
经过我试验,因为我0 -4 条线路全部使用no login ,telnet上去的时候,第一级别不需要验证,当我用完0-4 条的时候,又开始验证密码了.
1 vty 0 idle 00:00:09 192.168.1.150
2 vty 1 idle 00:01:28 192.168.1.150
3 vty 2 idle 00:04:13 192.168.1.150
4 vty 3 idle 00:05:48 192.168.1.150
5 vty 4 idle 00:06:41 192.168.1.150
* 6 vty 5 idle 00:00:00 192.168.1.150
(汗….本人完全测试…真的登了 5 次后开始…验证密码)
——————————————————————————————————-
上面是登入,如果不想登入了,要删除
line vty 0
password 7 10440812000E
no login
line vty 1 4
password 7 0119070F5E12
no login
line vty 5 15
exec-timeout 0 0ssh命令指定端口
password 7 070520474B10
login
按照一般的no … 测试一直显示:
3550(config)#no line vty 0
% Can’t delete last 16 VTY lines (其实VTY 是IOS 里带的端口,删除不掉了….汗..)
——————————————————————————————————–
解决方法:
想删除VTY(不让VTY 登入)
conf t
line vty 0 4
login
no password
这样就不能从vty登入了,会提示:password not set,然后disconnect.(当你no password 取消掉了密码,telnet就会拒绝连接,这样就关闭了telnet)
最后汗一次..理论不好..走了很多弯路….哎呀 ,要好好读书……
*******************************************************************************************
对user-interface vty 0 4的理解
请看下面命令:
[Quidway]user-interface vty 0 4 进入虚拟终端
[S3026-ui-vty0-4]authentication-mode password 设置口令模式
[S3026-ui-vty0-4]set authentication-mode password simple 222 设置口令
[S3026-ui-vty0-4]user privilege level 3
对以上4条命令的正确理解是:开启vty 0、1、2、3、4 等5个用户虚拟终端,将5个虚拟终端
的登录密码都设为 222。
如果我只想对1号用户虚拟终端做以上设置,应该用什么命令?
[Quidway]user-interface vty 1
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论