Для удаленного подключения к коммутатору используется технология эмуляции виртуального терминала. Удаленный доступ к коммутатору обеспечивается при помощи протоколов Telnet и SSH.
Для настройки режима работы виртуального терминала, находясь в режиме конфигурации, введите команду line vty <номер_линии>. Коммутатор поддерживает до 32 одновременных удаленных сессий:
Switch_config#line vty 0 ?
<1-31> Last Line number
<cr>
Switch_config#line vty 0 1
Switch_config_line#
Например, по аналогии с настройкой линии консоли, можно настроить длительность подключения по линии виртуального терминала при помощи команды exec-timeout:
Switch_config#line vty 1
Switch_config_line#exec-timeout 10
Через 10 секунд после подключения к линии 1, связь разорвется.
Telnet — протокол сетевого уровня, который позволяет удалённым пользователям подключаться к коммутатору для управления и администрирования через интерфейс командной строки (CLI). Telnet предоставляет возможность взаимодействовать с коммутатором, как если бы пользователь находился непосредственно перед ним.
Базовая настройка протокола Telnet выглядит следующим образом:
Switch_config#ip telnet attack-defense
Switch_config#ip telnet enable
Чтобы настроить службу Telnet на коммутаторе, в режиме конфигурирования введите команду ip telnet <parameter>. Перечень настраиваемых парметров:
enable -- включает службу Telnet на коммутаторе (включена по умолчанию):Switch_config#ip telnet enable
attack-defense <times> <silence-period> -- включает механизмы защиты от атак на Telnet-сервер (включен по умолчанию):Switch_config#ip telnet attack-defence
<3 - 10> -- Attack detection times
<cr>
Switch_config#ip telnet attack-defense 3 ?
<30 - 86400> -- Silence period of connection
<cr>
Механизм защиты Telnet-соединения начинает действовать (по умолчанию) после 5-х неудачных попыток соединения, блокируя на 60 секунд доступ с IP-адреса, с которого была обнаружена подозрительная активность. Эти метрики можно конфигурировать - от 3 до 10 неудачных попыток соединения, и от 30 секунд до 24 часов периода тишины (блокировки IP-адреса).
Например, после ввода этой команды, служба Telnet будет блокировать на 30 секунд IP-адреса Telnet-клиентов, которые не смогли удачно подключиться к коммутатору за 3 попытки:
Switch_config#ip telnet attack-defense 3 60
Jan 23 12:35:30 288 %SYS-5-AUTH: User 1 Authorization failed(from 192.168.1.100)
Jan 23 12:35:35 289 %SYS-5-AUTH: User 1 Authorization failed(from 192.168.1.100)
Jan 23 12:35:42 290 %SYS-5-AUTH: User 1 Authorization failed(from 192.168.1.100)
Jan 23 12:35:42 291 User default logged out from 192.168.1.100 on vty 1
Jan 23 12:35:42 292 %TELD-4-AUTH: TELD start block on 192.168.1.100 (ID) for 60/60 seconds
Jan 23 12:36:06 293 %TELD-4-AUTH: TELD deny new connection from 192.168.1.100 (ID) 37/60 seconds
Jan 23 12:36:31 294 %TELD-4-AUTH: TELD deny new connection from 192.168.1.100 (ID) 12/60 seconds
Jan 23 12:36:46 295 %TELD-4-AUTH: TELD stop block on 192.168.1.100 (ID)
source-interface <vlan|null> <int_num> -- позволяет указать VLAN-интерфейс, IP-адрес которого будет использоваться как исходный для всех исходящих Telnet-пакетов:Switch_config#ip telnet source-interface vlan 1
access-class <acl_name> -- применяет список доступа IP ACL для фильтрации входящих соединений:Switch_config#ip telnet acess-class telnet-acl
listen-port <first-port> <last-port> -- позволяет задать порт, на котором Telnet-сервер будет слушать входящие соединения. По умолчанию используется порт 23, но его можно изменить для повышения безопасности. Доступны порты от 3001 до 3999:Switch_config#ip telnet listen-port 3001 3002
max-user <num> -- позволяет настроить максимальное количество пользователей, которые могут одновременно подключаться к Telnet-серверу:Switch_config#ip telnet max-user 5
Чтобы подключится к некоторому удаленному хосту по протоколу Telnet по IPv4, введите команду в формате: telnet <dest_ip>:
Switch_config#telnet 192.168.1.1
SSH (Secure Shell) — протокол прикладного уровня, который обеспечивает безопасный доступ к коммутатору для удаленного управления и администрирования. Он шифрует данные, передаваемые между клиентом и сервером, что делает его более безопасным по сравнению с другими протоколами, такими как Telnet.
Чтобы настроить параметры службы SSH на коммутаторе, перейдите в режим конфигурирования и настройте необходимые опции протокола:
port <port_num> -- позволяет изменить стандартный порт SSH (по умолчанию - 22):Switch_config#ip sshd port 13337
silence-period <seconds> -- позволяет изменить период блокировки удаленного хоста после неудачного соединения (300 секунд по умолчанию):Switch_config#ip sshd silence-period 60
sftp -- позволяет получить доступ к памяти по протоколу SFTP:Switch_config#ip sshd sftp
version -- позволяет измененить версию SSH (1/2):Switch_config#ip sshd version 2
save -- позволяет сохраненить SSH-ключи в память:Switch_config#ip sshd save
enable -- включение службы SSH:Switch_config#ip sshd enable
Для отключения службы SSH на коммутаторе, в режиме конфигурирования введите комманду no ip sshd enable:
Switch_config#no ip sshd enable
Для подключения к удаленному хосту по протоколу SSH по IPv4, находясь в привилегированном режиме, или в режиме конфигурирования, используйте команду ssh -d <ipv4-address> -l <username> -p port:
Switch#ssh -l admin -d 192.168.1.10 -p 13337