Configurar el acceso de Telnet o SSH al dispositivo con VRF

Introducción

Este documento describe la configuración de acceso de los dispositivos con Telnet o Shell seguro (SSH) a través de un routing y reenvío virtual (VRF).

Antecedentes

En las redes de computadoras basadas en IP, el VRF es una tecnología que permite que coexistan varias instancias de una tabla de routing en el mismo router, al mismo tiempo. Debido a que las instancias de routing son independientes, pueden utilizarse direcciones IP iguales o que se superpongan sin ningún conflicto entre sí. Hay una mejora en la funcionalidad de la red, porque se pueden segmentar las rutas de red sin necesidad de que haya muchos routers.

VRF puede implementarse en un dispositivo de red mediante diferentes tablas de routing conocidas como bases de información de reenvío (FIB), una por cada instancia de routing. Como alternativa, un dispositivo de red puede tener la capacidad de configurar diferentes routers virtuales, donde cada uno tiene su propia FIB, a la que no puede acceder ninguna otra instancia de router virtual en el mismo dispositivo.

Telnet es un protocolo de capa de aplicaciones utilizado en Internet o en redes de área local (LAN) para proporcionar una instalación de comunicación bidireccional interactiva orientada al texto mediante una conexión de terminal virtual. Los datos de usuario se intercalan dentro de la banda con la información de control de Telnet en una conexión de datos orientada a bytes de 8 bits en el Protocolo de control de transmisión (TCP).

SSH es un protocolo de red cifrado para que los servicios de red funcionen de forma segura en una red no segura. La aplicación de ejemplo más conocida es el inicio de sesión remoto en los sistemas de computación por parte de los usuarios.

A menudo, cuando estas tecnologías se usan en conjunto, crean confusión, especialmente al intentar acceder de forma remota a un dispositivo a través de una interfaz que pertenece a una instancia VRF de routing no global.

Estas guías de configuración utilizan Telnet como una forma de acceso a la administración solamente para brindar un ejemplo. El concepto también se puede ampliar para el acceso SSH.

  

Prerequisites 

Requirements

No hay requisitos específicos para este documento.

Componentes Utilizados

Este documento no tiene restricciones específicas en cuanto a versiones de software y de hardware. 

Nota: Conocimientos básicos de VRF y Telnet. También se recomienda tener conocimientos de ACL. La configuración de VRF debe ser compatible con el dispositivo y la plataforma. Este documento es válido para todos los routers de Cisco que ejecutan CISCO IOS y que son compatibles con VRF y ACL.

The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Si se trata de una red en vivo, asegúrese de entender el posible impacto de cualquier comando.

Configurar

Diagrama de la red

Configuración

En el dispositivo remoto:

!
interface GigabitEthernet0/0
 description LINK TO END USER
 ip vrf forwarding MGMT
 ip address 192.168.100.1 255.255.255.252
 duplex auto
 speed auto
!

!
interface Loopback1
 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
 ip vrf forwarding MGMT
 ip address 10.0.0.1 255.255.255.255
!

!
line vty 0 4
 access-class 8 in
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in
 password cisco
 login
 transport input all
!

  

En el usuario final: 

!
interface GigabitEthernet0/0
 description LINK TO REMOTE SITE
 ip vrf forwarding MGMT
 ip address 192.168.100.2 255.255.255.252
 duplex auto
 speed auto
!

Verificación

Utilize esta sección para confirmar que su configuración funcione correctamente.

Antes de usar la palabra clave vrf-also en la clase de acceso de las líneas vty de 0 a 15, configuración del dispositivo remoto:

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host

Las llegadas del paquete al dispositivo remoto aumentan a medida que aumenta el recuento ACE correspondiente.

RemoteSite#show ip access-lists 8
Standard IP access list 8
    10 permit 192.168.100.2 log (3 matches)

Sin embargo, después de agregar la palabra clave vrf-also en la clase de acceso de las líneas vty de 0 a 15, el acceso a telnet está permitido.

Según el comportamiento definido, los dispositivos de CISCO IOS aceptan todas las conexiones VTY de forma predeterminada. Sin embargo, si se utiliza una clase de acceso, se supone que las conexiones deben llegar solo desde la instancia IP global. Pero si hay un requisito y se desea permitir las conexiones de las instancias de VRF, utilice la palabra clave vrf-also junto con la instrucción de clase de acceso correspondiente en la
configuración de la línea.

!
line vty 0 4
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
!

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open

User Access Verification

Password:
RemoteSite>

Troubleshoot

En esta sección se brinda información que puede utilizar para resolver problemas en su configuración.

A veces puede necesitarse la solución de problemas basada en VRF. Asegúrese de que las interfaces afectadas estén todas en el mismo VRF y que tengan disponibilidad dentro del mismo VRF.

Además, puede necesitarse la solución de problemas en relación con Telnet y el SSH relevante.