Подключение к Telnet/SSH
Канал управления Telnet/SSH предназначен для удалённого администрирования сетевых устройств по IP-сети. Доступ осуществляется через плоскость управления и должен быть логически изолирован и защищён от несанкционированного доступа.
Содержание статьи - настройка telnet - настройка ssh - настройка VRF (vpn-instance) управления - настройка management acl
Опционально (в данной статье не рассматривается) возможно выделение физического порта, через который будет проходить трафик управления по типу in-band-mgmg, возможно выделение в отдельный процесс STP для ограничения влияния перестроения топологии STP. При использовании данного подхода, не рекомендуется использовать такой порт для трафика, отличного от трафика управления.
Основное назначение:
- Обеспечение удалённого CLI-доступа к устройству
- Централизованное управление и диагностика
- Контроль и ограничение административного доступа
Типовые сценарии использования:
- Удалённое администрирование через SSH
- Временный доступ по Telnet в изолированных лабораторных средах
- Разграничение маршрутизации управления и пользовательского трафика
- Ограничение доступа к VTY по спискам доверенных IP-адресов
Необходимые условия и предварительные требования
Перед использованием Telnet/SSH-доступа убедитесь в выполнении следующих условий:
- Настроена IP-связность
- Созданы локальные или централизованные учётные записи
- Определены доверенные источники управления
Информация о применяемых технологиях
Telnet (Teletype Network)
Telnet - это протокол удалённого терминального доступа, работающий поверх TCP (порт 23). Передача данных, включая логины и пароли, осуществляется в открытом виде.
Особенности Telnet:
- Простота и минимальные требования
- Отсутствие шифрования
- Применим только в доверенных или изолированных сетях
- Используется преимущественно для тестирования и отладки
Внимание: Использование Telnet в производственных сетях без дополнительных мер защиты считается небезопасным.
Подключение с использованием telnet
Подключение разрешено по умолчанию.
root@admin_host:~$ telnet 192.168.100.252
Trying 192.168.100.252...
Connected to 192.168.100.252.
Escape character is '^]'.
User Access Verification
Username: root
Password: *****
SW2# <--- вы получили доступ на коммутатор SW2
Проверка подключения на коммутаторе
Обратите внимание на тип подключения (Line) - Tel
SW2# who
Line Location Idle Pri Orig-Pri User
1 con 1 Console 00:00:11 admin(15) admin(15) root
* 2 Tel 1 192.168.100.99 00:00:00 admin(15) admin(15) root
SW2#
Изменение настроек и отключение telnet
При необходимости измените порт подключения telnet
SW2(config)# telnetd port
<1-65535> The value of port
default The default value of port(23)
Отключение telnet выполняется по команде ниже.
SW2(config)# no telnetd
%Telnet server successfully closed!
SW2(config)#
Установка количества подключений telnet
Для количества одновременных сессий telnet выполните команды (по умолчанию разрешено 10 одновременных telnet сессий).
SW2(config)# user telnet max-count
<1-30> Max login count value
default Default login count value is 10
SW1(config)# user telnet max-count 10
SW1(config)#
SSH (Secure Shell)
SSH - основной и рекомендуемый протокол удалённого управления устройствами. Он обеспечивает защищённый доступ к CLI с использованием шифрования и механизмов аутентификации.
Ключевые особенности SSH:
- Шифрование всего управляющего трафика
- Поддержка аутентификации по паролю и ключам
- Работа поверх TCP (порт 22)
- Совместимость с системами централизованного управления
SSH является стандартом де-факто для безопасного удалённого администрирования сетевых устройств.
Для подключения к коммутатору с использованием протокола SSH необходима активация функции SSH на коммутаторе. Для настройки подключения по паролю выполните команды
SW2# configure
%Enter configuration commands.End with Ctrl+Z or command "quit" & "end"
SW2(config)# sshd
SW2(config)# sshd auth password <--- команда по умолчанию*
SW2(config)# exit
При необходимости внесите изменения в настройки таймера неактивности использования SSH (по умолчанию 300 секунд)
SW2(config)# sshd login-grace-time
<60-600> Time value(in seconds)
default The default value(in seconds):300
SW2(config)# sshd login-grace-time 360
SW2(config)#
Выполните подключение с компьютера администратора для проверки подключения по паролю. Вывод приведен для первого подключения.
netadmin@admin_host:~$ ssh user@192.168.100.252
The authenticity of host '192.168.100.252 (192.168.100.252)' can't be established.
ECDSA key fingerprint is SHA256:jKKSF8btizGLUdwEXG6jZmtxKhs2cjB12vPUY9LaX8Q.
This host key is known by the following other names/addresses:
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.100.252' (ECDSA) to the list of known hosts.
user@192.168.100.252's password: <--- введите пароль
User Access Verification
SW2# <--- вы получили доступ на коммутатор SW2
Просмотрите текущие подключения на коммутаторе с помощью команды who:
SW2# who
Line Location Idle Pri Orig-Pri User
* 1 con 1 Console 00:00:00 admin(15) admin(15) root
2 SSH 1 192.168.100.99 00:00:04 admin(15) admin(15) user
SW2#
Изменение параметров подключения SSH
Внесите необходимые настройки в выборе алгоритмов шифрования и хэша c использованием следующих команд.
SW2(config)# ssh
3des-cbc 3des-cbc cipher
3des-ctr 3des-ctr cipher
aes128-cbc aes128-cbc cipher
aes128-ctr aes128-ctr cipher
aes256-cbc aes256-cbc cipher
aes256-ctr aes256-ctr cipher
hmac-sha1 hmac-sha1 hash
hmac-sha1-96 hmac-sha1-96 hash
hmac-sha2-256 hmac-sha2-256 hash
keygen Key generation
user Ssh user
Для настройки ограничений алгоритмов шифрования и хэширования последовательно выполните нужные команды.
SW2(config)# ssh 3des-cbc disable
This operation may affect SSH login.Are you sure?(y/n) [y]
SW2(config)# ssh 3des-ctr disable
This operation may affect SSH login.Are you sure?(y/n) [y]
SW2(config)# ssh aes128-cbc disable
This operation may affect SSH login.Are you sure?(y/n) [y]
SW2(config)# ssh aes128-ctr disable
This operation may affect SSH login.Are you sure?(y/n) [y]
SW2(config)# ssh hmac-sha1 disable
This operation may affect SSH login.Are you sure?(y/n) [y]
SW2(config)# ssh hmac-sha1-96 disable
This operation may affect SSH login.Are you sure?(y/n) [y]
SW2(config)# end
Установка количества подключений SSH
Для количества одновременных сессий SSH выполните команды (по умолчанию разрешено 10 одновременных ssh сессий).
SW2(config)# user ssh max-count
<1-30> Max login count value
default Default login count value is 10
SW1(config)# user ssh max-count 12
SW1(config)#
Просмотр конфигурации
Выполните просмотр конфигурации SSH, telnet и пользователей
SW2# show ssh config
!
sshd
sshd login-grace-time 360
ssh aes128-ctr disable
ssh aes128-cbc disable
ssh 3des-ctr disable
ssh 3des-cbc disable
ssh hmac-sha1 disable
ssh hmac-sha1-96 disable
SW2#
Проверка разрешенного количества одновременных сессий SSH
SW2# show user config
!
...
user ssh max-count 12
Проверка настройки telnet не имеет отдельной команды и может быть выполнена по команде show running-config
SW2#show running-config
!Device running configuration:
!version V1.0.2
...
no telnetd
...
VRF для VTY (Management VRF)
VRF (Virtual Routing and Forwarding) позволяет использовать отдельную таблицу маршрутизации для плоскости управления. В конфигурации коммутаторов CIT 3200 настройка VRF выполняется с помощью команды 'VPN-Instance'. В документации ниже, слова VRF и VPN-Instance являются синонимами.
Назначение VRF для VTY:
- Логическая изоляция управления от data-plane
- Использование отдельного маршрута доступа к Telnet/SSH
- Повышение устойчивости управления при сбоях в рабочей сети
Настройка VRF для управления
SW2(config)#
SW2(config)# ip vpn-instance MGMT
SW2(config-vpn-instance-MGMT)# description "MGMT VRF"
SW2(config-vpn-instance-MGMT)# ipv4-family
SW2(config-vpn-instance-af-ipv4)# route-distinguisher 192.168.100.252:1
SW2(config-vpn-instance-af-ipv4)# xit
SW2(config-vpn-instance-MGMT)# exit
SW2(config)#
Настройка SVI интерфейса управления для VPN-Instance MGMT
SW2(config)# vlan 4094
SW2(config)# alias mgmt-vlan
!
SW2(config)# interface vlan 4094
SW2(config-vlanif-4094)# alias mgmt-vlan
SW2(config-vlanif-4094)# ip binding vpn-instance MGMT
W2(config-vlanif-4094)#ip address 192.168.100.252/24
W2(config-vlanif-4094)#end
Проверка интерфейсов и таблицы маршрутизации
Проверка может быть выполнена для всех VPN-Instance (включая Default VRF) или непосредственно для определенного VRF
Просмотр наличия IP интерфейсов в VRF MGMT
SW2# show ip interface vpn-instance MGMT
The total number of Ip address: 1
Ip-Address Interface IPIndex State(a/o) Role Type Vpn-instance
192.168.100.252/24 vlan4094 1 up/up primary static MGMT
Просмотр IP интерфейсов для всех VRF
SW2#show ip interface
The total number of Ip address: 4
Ip-Address Interface IPIndex State(a/o) Role Type Vpn-instance
10.10.10.1/24 mgt-eth0/0/0 1 up/down primary static N/A
127.0.0.1/8 loopback0 2 up/up primary auto N/A
172.16.100.102/24 vlan1 3 up/up primary static N/A
192.168.100.252/24 vlan4094 4 up/up primary static MGMT
SW2#
Просмотр таблиц маршрутизации
Просмотр таблицы VRF MGMT
SW2#show ip route vpn-instance
Destination Gateway Preference/Cost Interface Proto Mpls Vpn-Instance
----------------------------------------------------------------------------------------------------------------
192.168.100.0/24 192.168.100.252 0/0 vlan4094 local no MGMT
192.168.100.252/32 192.168.100.252 0/0 vlan4094 local no MGMT
----------------------------------------------------------------------------------------------------------
Total: 2 Static: 0 Down: 0
Просмотр таблицы маршрутизации всех VRF
SW2#show ip route
Routing Tables: Public
Destination Gateway Preference/Cost Interface Proto Mpls Vpn-Instance
---------------------------------------------------------------------------------------------------------
127.0.0.1/32 127.0.0.1 0/0 loopback0 local no N/A
172.16.100.0/24 172.16.100.102 0/0 vlan1 local no N/A
172.16.100.102/32 172.16.100.102 0/0 vlan1 local no N/A
192.168.100.0/24 192.168.100.252 0/0 vlan4094 local no MGMT
192.168.100.252/32 192.168.100.252 0/0 vlan4094 local no MGMT
---------------------------------------------------------------------------------------------------------------
Total: 5 Static: 0 Down: 0
SW2#
Management ACL
Management ACL применяется не для фильтрации транзитного трафика, а для защиты самой плоскости управления. Он определяет, с каких IP‑адресов разрешены подключения к сервисам управления (SSH, SNMP, FTP, TFTP, telnet). Это ключевой механизм ограничения административного доступа.
Настройка параметров ACL управления
Список доступа управления используется для:
- Защиты устройства от несанкционированного доступа
- Соответствия базовым требованиям сетевой безопасности
Настройка списков доступа управления возможна для протоколов ipv4 и ipv6
SW2(config)# management ?
acl Access control list
acl6 Access control list
Ниже приведен пример настройки ограничений для ipv4
SW2 (config)# management acl <host>/<prefix_length> ?
all All mangement acl protocol can be used
ftp Only use FTP protocol
snmp Only use SNMP protocol
ssh Only use SSH protocol
telnet Only use TELNET protocol
tftp Only use TFTP protocol
<cr>
SW2(config)# management acl 192.168.100.99/32 tft
SW2(config)# management acl 192.168.100.99/32 tftp
SW2(config)# management acl 192.168.100.99/32 ssh
SW2(config)# management acl 192.168.100.99/32 snmp
<cr>
Активация списка доступа
После создания список доступа необходимо активировать
SW2(config)#management acl enable
Примеры конфигурирования в данной статье
Скопируйте и вставьте следующие строки в окно терминала. Для настройки параметров ssh используйте пустые строки между командами (как приведено ниже), а также используйте задержку отправки команды (если ваш клиент поддерживает такую возможность). Пустая строка отправляет ввод Enter для подтверждения действия по умолчанию. Требуется задержка для применение конфигурации между командами настройки ssh.
configure
vlan 4094
alias mgmt-vlan
exit
ip vpn-instance MGMT
description "MGMT VRF"
ipv4-family
route-distinguisher 192.168.100.252:1
exit
exit
interface vlan 4094
ip binding vpn-instance MGMT
ip address 192.168.100.252/24
exit
user ssh max-count 12
no telnetd
sshd
sshd login-grace-time 360
ssh aes128-ctr disable
ssh aes128-cbc disable
ssh 3des-ctr disable
ssh 3des-cbc disable
ssh hmac-sha1 disable
ssh hmac-sha1-96 disable
management acl 192.168.100.99/32 snmp
management acl 192.168.100.99/32 ssh
management acl 192.168.100.99/32 ftp
management acl 192.168.100.99/32 tftp
management acl enable
end
Рекомендации и логическая последовательность настройки
- Определите способ подключения к устройству (In-Band или Out-Of-Band).
- Выберите протокол управления (рекомендуется SSH).
- При необходимости создайте отдельный VRF для плоскости управления.
- Обеспечьте корректную маршрутизацию в VRF управления.
- Настройте
management aclи разрешите доступ только с доверенных IP-адресов. -
Проверьте доступ и зафиксируйте параметры в документации.
-
Используйте SSH вместо Telnet во всех production-средах
- Выполняйте изменения ACL с активной консольной сессией
- Документируйте все IP-адреса и источники управления
Ссылка на внешнюю документацию
- RFC 4251 - The Secure Shell (SSH) Protocol Architecture
- RFC 854 - Telnet Protocol Specification