IT-SG9999
11-04-2006, 10:59
Truy cập bằng Telnet
Bạn có thể truy cập theo chế độ nonprivileged hoặc privileged tới router thông qua Telnet. Giống như với
Console, sự bảo mật với Telnet có được khi người dùng xác nhận bản thân bằng password. Thực tế,
rất nhiều khái niệm tương tự mô tả ở phần "Console Access" ở trên cũng áp dụng cho truy cập Telnet.
Bạn phải nhập password để chuyển từ chế độ nonprivileged sang privileged, có thể mã hóa password, đặt
giới hạn thời gian cho phiên làm việc.
Password cho chế độ nonprivileged
Mỗi cổng Telnet của router được coi như một thiệt bị đầu cuối "ảo" ( virtual terminal ). Có tối đa 5 cổng
dành cho virtual terminal (VTY) trên router , cho phép 5 phiên làm việc Telnet đồng thời. Trên router, các
này đánh số từ 0 đến 4. Bạn có thể đặt nonprivileged password cho các cổng với lệnh cấu hình sau.Trong ví
dụ này, cổng virtual terminal từ 0 đến 4 sử dụng password "marin" :
line vty 0 4
login
password marin
Khi người dùng telnet đến IP của router, router trả lời tương tự như sau :
% telnet router
Trying ...
Connected to router
Escape character is '^]'
User Access Verification
Password:
Nếu người dùng nhập đúng nonprivileged password, dấu nhắc sau sẽ xuất hiện:
router>
Password cho chế độ privileged
Bây giờ người dùng đã có nonprivileged access và có thể chuyển sang chế độ privileged bằng cách gõ
lệnh enable giống như đối với Console Access.
Hạn chế truy cập Telnet đối với những địa chỉ IP cụ thể
Nếu bạn muốn chỉ những IP nhất định có thể dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in
để xác định danh sách truy cập (từ 1 đến 99). Lệnh cấu hình sau cho phép truy cập Telnet đến router từ các host
trong mạng 192.85.55.0:
access-list 12 permit 192.85.55.0 0.0.0.255
line vty 0 4
access-class 12 in
Hạn chế truy cập Telnet đối với các sản phẩm Cisco thông qua cổng TCP
Có thể truy cập tới 1 sản phẩm của Cisco thông qua Telnet đến những cổng TCP nhất định. Kiểu truy cập
Telnet thay đổi tùy theo những phiên bản phần mềm Cisco:
- Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn
- Software Release 9.1 (11.5) , 9.21 (3.2), 10.0 và mới hơn
Với Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn, có thể , theo mặc định, thiết lập kết nối TCP
tới sản phẩm của Cisco thông qua các cổng TCP trong Bảng 3-1
Bảng 3-1 : Cổng TCP truy cập Telnet tới các sản phẩm Cisco ( các phiên bản cũ)
Cổng TCP Phương thức truy cập
7 Echo
9 Discard
23 Telnet ( tới cổng VTY theo kiểu quay vòng)
79 Finger
1993 SNMP thông qua TCP
2001-2999 Telnet tới cổng hỗ trợ (auxiliary - AUX ), cổng terminal (TTY), và cổng virtual terminal (VTY)
3001-3999 Telnet tới những cổng quay vòng ( chỉ có thể khi đã được cấu hình với lệnh rotary )
4001-4999 Telnet ( stream mode ) , mirror của các cổng trong khoảng 2000
5001-5999 Telnet ( stream mode), mirror của khoảng 3000 ( chỉ khi đã cấu hình rotary)
6001-6999 Telnet (binary mode), mirror của khoảng 2000
7001-7999 Telnet (binary mode), mirror của khoảng 300 ( chỉ khi đã cấu hình rotary)
8001-8999 Xremote ( chỉ với communication servers)
9001-9999 Reverse Xremote ( chỉ với communication servers)
10001-19999 Reverse Xremote rotary (chỉ với communication servers, khi đã cấu hình rotary trước)
Chú ý : Vì Cisco routers không có đường TTY, thiết lập truy cập ( trên communicaiton servers) tới các cổng
2002,2003,2004 và lớn hơn có thể cung cấp truy cập tới VTY (trên routers) tới các cổng tương ứng. Để cung
cấp truy cập tới các cổng TTY, bạn có thể tạo danh sách truy cập trong đó hạn chế truy cập đối với VTYs.
Khi thiết lập những nhóm quay vòng, luôn nhớ rằng có thể truy cập đến bất cứ cổng nào trong nhóm (trừ khi
có danh sách giới hạn truy cập).
Sau đây là ví dụ minh họa một danh sách truy cập từ chối truy cập đến cổng hỗ trợ (AUX) và chỉ cho phép truy cập
telnet từ địa chỉ 192.32.6.7 :
access-class 51 deny 0.0.0.0 255.255.255.255
access-class 52 permit 192.32.6.7
line aux 0
access-class 51 in
line vty 0 4
Chú ý : nếu lệnh ip alias được cho phép trên sản phẩm Cisco, mọi kết nối TCP tới bất cứ cổng nào cũng được
coi là hợp lệ. Có thể bạn sẽ muốn vô hiệu hóa lệnh này
Có thể bạn muốn tạo danh sách truy cập hạn chế truy cập tới sản phẩm Cisco qua cổng TCP.
đến router.
Với Software Release 9.1 (11.5), 9.21 (3.2), và bất cứ phiên bản nào của Software Release 10, những cải tiến
sau đã được thực hiện :
- Truy cập trực tiếp đến virtual terminal lines (VTYs) qua cổng trong các khoảng 2000,4000 và 6000 đã được vô
hiệu hóa theo mặc định
- Kết nối tới cổng echo và discard (7 và 9) có thể được vô hiệu hóa với lệnh no service tcp-small-servers
- Tất cả sản phẩm Cisco cho phép kết nối tới IP alias chỉ với cổng 23
Với những phiên bản sau này, Cisco router chấp nhận kết nối TCP qua các cổng mặc định trong Bảng 3-2
Bảng 3-2 : Cổng TCP cho truy cập Telnet tới các sản phẩm Cisco ( những phiên bản sau )
Cổng TCP Phương thức truy cập
7 Echo
9 Discard
23 Telnet
79 Finger
1993 Cổng hỗ trợ (AUX)
4001 Cổng AUX (stream)
6001 Cổng AUX (binary)
Truy cập qua cổng 23 có thể bị hạn chế bằng cách tạo danh sách truy cập và gán nó cho một đường virtual terminal.
Truy cập qua cổng 79 có thể vô hiệu hóa bằng lệnh no service finger. Truy cập qua cổng 1993 có thể được kiểm
soát bằng danh sách truy cập SNMP. Truy cập qua cổng 2001,4001 và 6001 có thể được kiểm soát bằng 1 danh
sách truy cập đặt ở 1 cổng hỗ trợ (AUX)
Terminal Access Conroller Access Control System ( TACACS)
Password chế độ nonprivileged và privileged được áp dụng cho mỗi người dùng truy cập router từ console port hay
Telnet. Ngoài ra, Terminal Access Controller Access Control System (TACACS) cung cấp 1 cách xác nhận mỗi
người dùng dựa trên từng cơ sở riêng biệt trước khi họ có thể có quyền truy cập vào router hay communication
server. TACACS được xây dựng ở Bộ quốc phòng mỹ và được mô tả trong Request For Comments (RFC) 1492.
TACACS được Cisco sử dụng để cho phép quản lý tốt hơn, xem ai có quyền truy cập tới router trong chế độ
nonprivileged và privileged .
Với TACACS enabled, router nhắc người dùng nhập username và password. Sau đó, router gọi TACACS server để
xác định password có đúng không. Một TACACS server thường chạy trên một trạm làm việc UNIX. Domain TACACS
servers có thể nhận được thông qua anonymous ftp đến ftp.cisco.com trong thư mục /pub. Sử dụng /pub/README
để tim tên file. Một server hỗ trợ TACACS đầy đủ có kèm trong CiscoWorks Version 3.
Lệnh cấu hình tacacs-server host xác định UNIX host chạy một TACACS server sẽ xác nhận lại yêu cầu gửi từ routers.
Bạn có thể đánh lệnh tacacs-server host nhiều lần để chỉ ra nhiều TACACS server cho một router.
Nonprivileged Access
Nếu tất cả server đều không sẵn sàng, bạn có thể bị khóa đối với router. Lúc này, lệnh cấu hình tacacs-server
last resort [password | succeed] cho phép bạn xác định xem có cho người dùng đăng nhập không cần password
( từ khóa succeed) hay buộc người dùng cung cấp password chuẩn ( từ khóa password)
Các lệnh sau chỉ ra một TACACS server và cho phép đăng nhập nếu server gặp sự cố:
tacacs-server host 129.140.1.1
tacacs-server last-resort succeed
Buộc người dùng truy cập qua Telnet xác nhận bản thân qua lệnh cấu hìnhsau :
line vty 0 4
login tacacs
Privileged Access (truy cập với đặc quyền)
Phương pháp kiểm tra password này cũng có thể áp dụng với chế độ privileged dùng lệnh enable use-tacacs.
Nếu tất cả server đều không sẵn sàng tiếp nhận, lệnh cấu hìnhenable last-resort [succeed | password] cho biết
có để người dùng đăng nhập không cần password hay không. Nếu bạn dùng lệnh enable use-tacacs, bạn cũng
phải dùng lệnh tacacs-server authenticate enable. Lệnh tacacs-server extended cho phép thiết bị Cisco chạy
chế độ TACACS mở rộng. Hệ thống UNIX phải chạy extended TACACS daemon, có thể nhận được bằng anonymous
ftp tới ftp.cisco.com, tên file là xtacacsd.shar. Daemon này cho phép communication servers và những thiết bị
khác giao tiếp với hệ thống UNIX và cập nhật thông tin mà thiết bị đó gửi.
Lệnh username <user> password [0 | 7] <password> cho phép bạn lưu một danh sách user và password trong
thiết bị Cisco thay vì trên một TACACS server. Số 0 lưu password dạng cleartext trong file cấu hình. Số 7 lưu
ở dạng mã hóa. Nếu bạn không có một TACACS server và vẫn muốn xác định từng
Bạn có thể truy cập theo chế độ nonprivileged hoặc privileged tới router thông qua Telnet. Giống như với
Console, sự bảo mật với Telnet có được khi người dùng xác nhận bản thân bằng password. Thực tế,
rất nhiều khái niệm tương tự mô tả ở phần "Console Access" ở trên cũng áp dụng cho truy cập Telnet.
Bạn phải nhập password để chuyển từ chế độ nonprivileged sang privileged, có thể mã hóa password, đặt
giới hạn thời gian cho phiên làm việc.
Password cho chế độ nonprivileged
Mỗi cổng Telnet của router được coi như một thiệt bị đầu cuối "ảo" ( virtual terminal ). Có tối đa 5 cổng
dành cho virtual terminal (VTY) trên router , cho phép 5 phiên làm việc Telnet đồng thời. Trên router, các
này đánh số từ 0 đến 4. Bạn có thể đặt nonprivileged password cho các cổng với lệnh cấu hình sau.Trong ví
dụ này, cổng virtual terminal từ 0 đến 4 sử dụng password "marin" :
line vty 0 4
login
password marin
Khi người dùng telnet đến IP của router, router trả lời tương tự như sau :
% telnet router
Trying ...
Connected to router
Escape character is '^]'
User Access Verification
Password:
Nếu người dùng nhập đúng nonprivileged password, dấu nhắc sau sẽ xuất hiện:
router>
Password cho chế độ privileged
Bây giờ người dùng đã có nonprivileged access và có thể chuyển sang chế độ privileged bằng cách gõ
lệnh enable giống như đối với Console Access.
Hạn chế truy cập Telnet đối với những địa chỉ IP cụ thể
Nếu bạn muốn chỉ những IP nhất định có thể dùng Telnet truy cập router, bạn phải dùng lệnh access-class nn in
để xác định danh sách truy cập (từ 1 đến 99). Lệnh cấu hình sau cho phép truy cập Telnet đến router từ các host
trong mạng 192.85.55.0:
access-list 12 permit 192.85.55.0 0.0.0.255
line vty 0 4
access-class 12 in
Hạn chế truy cập Telnet đối với các sản phẩm Cisco thông qua cổng TCP
Có thể truy cập tới 1 sản phẩm của Cisco thông qua Telnet đến những cổng TCP nhất định. Kiểu truy cập
Telnet thay đổi tùy theo những phiên bản phần mềm Cisco:
- Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn
- Software Release 9.1 (11.5) , 9.21 (3.2), 10.0 và mới hơn
Với Software Release 9.1 (11.4) và cũ hơn, 9.21 (3.1) và cũ hơn, có thể , theo mặc định, thiết lập kết nối TCP
tới sản phẩm của Cisco thông qua các cổng TCP trong Bảng 3-1
Bảng 3-1 : Cổng TCP truy cập Telnet tới các sản phẩm Cisco ( các phiên bản cũ)
Cổng TCP Phương thức truy cập
7 Echo
9 Discard
23 Telnet ( tới cổng VTY theo kiểu quay vòng)
79 Finger
1993 SNMP thông qua TCP
2001-2999 Telnet tới cổng hỗ trợ (auxiliary - AUX ), cổng terminal (TTY), và cổng virtual terminal (VTY)
3001-3999 Telnet tới những cổng quay vòng ( chỉ có thể khi đã được cấu hình với lệnh rotary )
4001-4999 Telnet ( stream mode ) , mirror của các cổng trong khoảng 2000
5001-5999 Telnet ( stream mode), mirror của khoảng 3000 ( chỉ khi đã cấu hình rotary)
6001-6999 Telnet (binary mode), mirror của khoảng 2000
7001-7999 Telnet (binary mode), mirror của khoảng 300 ( chỉ khi đã cấu hình rotary)
8001-8999 Xremote ( chỉ với communication servers)
9001-9999 Reverse Xremote ( chỉ với communication servers)
10001-19999 Reverse Xremote rotary (chỉ với communication servers, khi đã cấu hình rotary trước)
Chú ý : Vì Cisco routers không có đường TTY, thiết lập truy cập ( trên communicaiton servers) tới các cổng
2002,2003,2004 và lớn hơn có thể cung cấp truy cập tới VTY (trên routers) tới các cổng tương ứng. Để cung
cấp truy cập tới các cổng TTY, bạn có thể tạo danh sách truy cập trong đó hạn chế truy cập đối với VTYs.
Khi thiết lập những nhóm quay vòng, luôn nhớ rằng có thể truy cập đến bất cứ cổng nào trong nhóm (trừ khi
có danh sách giới hạn truy cập).
Sau đây là ví dụ minh họa một danh sách truy cập từ chối truy cập đến cổng hỗ trợ (AUX) và chỉ cho phép truy cập
telnet từ địa chỉ 192.32.6.7 :
access-class 51 deny 0.0.0.0 255.255.255.255
access-class 52 permit 192.32.6.7
line aux 0
access-class 51 in
line vty 0 4
Chú ý : nếu lệnh ip alias được cho phép trên sản phẩm Cisco, mọi kết nối TCP tới bất cứ cổng nào cũng được
coi là hợp lệ. Có thể bạn sẽ muốn vô hiệu hóa lệnh này
Có thể bạn muốn tạo danh sách truy cập hạn chế truy cập tới sản phẩm Cisco qua cổng TCP.
đến router.
Với Software Release 9.1 (11.5), 9.21 (3.2), và bất cứ phiên bản nào của Software Release 10, những cải tiến
sau đã được thực hiện :
- Truy cập trực tiếp đến virtual terminal lines (VTYs) qua cổng trong các khoảng 2000,4000 và 6000 đã được vô
hiệu hóa theo mặc định
- Kết nối tới cổng echo và discard (7 và 9) có thể được vô hiệu hóa với lệnh no service tcp-small-servers
- Tất cả sản phẩm Cisco cho phép kết nối tới IP alias chỉ với cổng 23
Với những phiên bản sau này, Cisco router chấp nhận kết nối TCP qua các cổng mặc định trong Bảng 3-2
Bảng 3-2 : Cổng TCP cho truy cập Telnet tới các sản phẩm Cisco ( những phiên bản sau )
Cổng TCP Phương thức truy cập
7 Echo
9 Discard
23 Telnet
79 Finger
1993 Cổng hỗ trợ (AUX)
4001 Cổng AUX (stream)
6001 Cổng AUX (binary)
Truy cập qua cổng 23 có thể bị hạn chế bằng cách tạo danh sách truy cập và gán nó cho một đường virtual terminal.
Truy cập qua cổng 79 có thể vô hiệu hóa bằng lệnh no service finger. Truy cập qua cổng 1993 có thể được kiểm
soát bằng danh sách truy cập SNMP. Truy cập qua cổng 2001,4001 và 6001 có thể được kiểm soát bằng 1 danh
sách truy cập đặt ở 1 cổng hỗ trợ (AUX)
Terminal Access Conroller Access Control System ( TACACS)
Password chế độ nonprivileged và privileged được áp dụng cho mỗi người dùng truy cập router từ console port hay
Telnet. Ngoài ra, Terminal Access Controller Access Control System (TACACS) cung cấp 1 cách xác nhận mỗi
người dùng dựa trên từng cơ sở riêng biệt trước khi họ có thể có quyền truy cập vào router hay communication
server. TACACS được xây dựng ở Bộ quốc phòng mỹ và được mô tả trong Request For Comments (RFC) 1492.
TACACS được Cisco sử dụng để cho phép quản lý tốt hơn, xem ai có quyền truy cập tới router trong chế độ
nonprivileged và privileged .
Với TACACS enabled, router nhắc người dùng nhập username và password. Sau đó, router gọi TACACS server để
xác định password có đúng không. Một TACACS server thường chạy trên một trạm làm việc UNIX. Domain TACACS
servers có thể nhận được thông qua anonymous ftp đến ftp.cisco.com trong thư mục /pub. Sử dụng /pub/README
để tim tên file. Một server hỗ trợ TACACS đầy đủ có kèm trong CiscoWorks Version 3.
Lệnh cấu hình tacacs-server host xác định UNIX host chạy một TACACS server sẽ xác nhận lại yêu cầu gửi từ routers.
Bạn có thể đánh lệnh tacacs-server host nhiều lần để chỉ ra nhiều TACACS server cho một router.
Nonprivileged Access
Nếu tất cả server đều không sẵn sàng, bạn có thể bị khóa đối với router. Lúc này, lệnh cấu hình tacacs-server
last resort [password | succeed] cho phép bạn xác định xem có cho người dùng đăng nhập không cần password
( từ khóa succeed) hay buộc người dùng cung cấp password chuẩn ( từ khóa password)
Các lệnh sau chỉ ra một TACACS server và cho phép đăng nhập nếu server gặp sự cố:
tacacs-server host 129.140.1.1
tacacs-server last-resort succeed
Buộc người dùng truy cập qua Telnet xác nhận bản thân qua lệnh cấu hìnhsau :
line vty 0 4
login tacacs
Privileged Access (truy cập với đặc quyền)
Phương pháp kiểm tra password này cũng có thể áp dụng với chế độ privileged dùng lệnh enable use-tacacs.
Nếu tất cả server đều không sẵn sàng tiếp nhận, lệnh cấu hìnhenable last-resort [succeed | password] cho biết
có để người dùng đăng nhập không cần password hay không. Nếu bạn dùng lệnh enable use-tacacs, bạn cũng
phải dùng lệnh tacacs-server authenticate enable. Lệnh tacacs-server extended cho phép thiết bị Cisco chạy
chế độ TACACS mở rộng. Hệ thống UNIX phải chạy extended TACACS daemon, có thể nhận được bằng anonymous
ftp tới ftp.cisco.com, tên file là xtacacsd.shar. Daemon này cho phép communication servers và những thiết bị
khác giao tiếp với hệ thống UNIX và cập nhật thông tin mà thiết bị đó gửi.
Lệnh username <user> password [0 | 7] <password> cho phép bạn lưu một danh sách user và password trong
thiết bị Cisco thay vì trên một TACACS server. Số 0 lưu password dạng cleartext trong file cấu hình. Số 7 lưu
ở dạng mã hóa. Nếu bạn không có một TACACS server và vẫn muốn xác định từng