Telnet konfigurationer

Det finns två vanliga protokoll för fjärradministration av Cisco router och switch, Telnet och SSH. Telnet utvecklades 1969, med RFC 15, en tid innan persondatorer. De som fick jobba med stora datorer använde terminaler. Ursprungligen var varje terminal ansluten till bara en maskin och när man ville använda en annan maskin var man tvungen att ta sig till platsen där maskinen var placerade, till exempel till en annan stad. Telnet gav möjligheten att fjäradministrera avlägsna maskiner och då kan man säga att Telnet revolutionerade det som skulle bli så småningom det internet vi känner idag.

Telnet kan konfigureras och användas på olika sätt. Härnedan några exempel:

Telnet Konfiguration utan säkerhet

En enkel nätverkstopologi använder jag som exempel:

Bild 1: Nätverkstopologi – Telnet

Telnet endast via lösenord för VTY

Här räcker att konfigurera VTY med ett lösenord, men inget användarkonto:

  • R1(config)# line vty 0 4
  • R1(config-line)# password vtyPa55
  • R1(config-line)# login
  • R1(config-line)# end
  • R1#

Från R2 exekveras följande kommando:

  • R2# telnet 192.168.1.10
  • Man anger lösenordet och då är man in, men endast på användarexekveringsläge. Det kan ändras med kommandot enable password:
  • R1(config)# enable password enPa55

Från R2 exekveras ingen telnet 192.168.1.10 och denna gången är man in och kan ändra till privilegierat exekveringsläge.

Telnet anslutning som kräver användarkonto och dess lösenord

Användaren måste ange inloggningsuppgifter som verifieras i en lokal databas. Observera att terminalerna vty 0 till 4 tillåter endast telnet anslutningar.

  • R1(config)#username admin password adminPa55
  • R1(config)# line vty 0 4
  • R1(config-line)# transport input telnet
  • R1(config-line)# login local
  • R1(config-line)# end

Från R2 exekveras kommandot telnet 192.168.1.10, anger användarnamn och lösenord och därefter lösenordet till privilegierat exekveringsläge.

Telnet konfiguration med en viss säkerhet

Nu ska jag begränsa åtkomst till R1 genom att skapa en access-list i vilken inkluderar jag IP-adressen 192.168.1.100. Observera att routern R2 har IP-adressen 192.168.1.11 och eftersom R2 är inte med i listan kommer att nekas Telnet uppkoppling. Därefter ändrar jag ACL med rätt IP-adress för R2.

Jag skapar en access-list R1(config)# access-list 1 permit host 192.168.1.100
Jag tillämpar listan på vty portarna R1(config)# line vty 0 4
R1(config-line)# access-class 1 in

Nu testar jag att logga in på R1 från R2. Som sagt det bör inte fungera eftersom i listan finns inte 192.168.1.11

  • R2# telnet 192.168.1.10
  • Det fungerar inte Telnet och då inkluderar jag adressen 192.168.1.11 (egentligen skrivs adressen över) i ACL 1
  • R1# show access-lists
  • R1(config)# access-list 1 permit host 192.168.1.11
  • Testar igen och det fungerar !