VRF를 사용하여 디바이스에 대한 텔넷/SSH 액세스 구성

소개

이 문서에서는 VRF(Virtual Routing and Forwarding)를 통해 텔넷 또는 SSH(Secure Shell)로 디바이스 액세스를 구성하는 방법에 대해 설명합니다.

배경 정보

IP 기반 컴퓨터 네트워크에서 VRF는 라우팅 테이블의 여러 인스턴스가 동일한 라우터 내에서 동시에 공존할 수 있도록 하는 기술입니다.라우팅 인스턴스는 독립적이므로 서로 충돌하지 않고 동일하거나 겹치는 IP 주소를 사용할 수 있습니다.여러 라우터의 요구 사항 없이 네트워크 경로를 분할할 수 있으므로 네트워크 기능이 향상됩니다.

VRF는 라우팅 인스턴스당 하나씩 FIB(Forwarding Information Base)라고 하는 별도의 라우팅 테이블을 통해 네트워크 디바이스에서 구현될 수 있습니다.또는 네트워크 디바이스에는 서로 다른 가상 라우터를 구성할 수 있는 기능이 있을 수 있습니다. 각 라우터마다 동일한 디바이스의 다른 가상 라우터 인스턴스에 액세스할 수 없는 고유한 FIB가 있습니다.

텔넷은 인터넷 또는 LAN(Local Area Network)에서 가상 터미널 연결을 사용하여 양방향 인터랙티브 텍스트 지향 통신 기능을 제공하는 애플리케이션 레이어 프로토콜입니다.사용자 데이터는 TCP(Transmission Control Protocol)를 통한 8비트 바이트 중심 데이터 연결에서 텔넷 제어 정보와 함께 인밴드(in-band)로 분할됩니다.

SSH는 비보안 네트워크를 통해 안전하게 네트워크 서비스를 운영하기 위한 암호화 네트워크 프로토콜입니다.가장 잘 알려진 예제 애플리케이션은 사용자가 컴퓨터 시스템에 원격으로 로그인하는 것입니다.

이러한 기술이 함께 사용될 때 혼동이 발생하는 경우가 종종 있습니다. 특히 비전역 라우팅 VRF 인스턴스에 속하는 인터페이스를 통해 디바이스에 원격으로 액세스하려고 할 때 그렇습니다.

이 컨피그레이션 가이드는 텔넷을 모범 목적으로만 관리 액세스 형태로 사용합니다.SSH 액세스도 이 개념을 확장할 수 있습니다.

  

사전 요구 사항 

요구 사항

이 문서에 대한 특정 요건이 없습니다.

사용되는 구성 요소

이 문서는 특정 소프트웨어 및 하드웨어 버전으로 한정되지 않습니다. 

참고:VRF 및 텔넷에 대한 기본적인 이해ACL에 대한 지식도 권장합니다.장치 및 플랫폼에서 VRF 구성을 지원해야 합니다. 이 문서는 Cisco IOS를 실행하는 모든 Cisco 라우터와 VRF 및 ACL이 지원되는 위치에 적용됩니다.

이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다.이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다.네트워크가 작동 중인 경우 모든 명령의 잠재적인 영향을 이해해야 합니다.

구성

네트워크 다이어그램

구성

원격 디바이스에서 다음을 수행합니다.

!
interface GigabitEthernet0/0
 description LINK TO END USER
 ip vrf forwarding MGMT
 ip address 192.168.100.1 255.255.255.252
 duplex auto
 speed auto
!

!
interface Loopback1
 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
 ip vrf forwarding MGMT
 ip address 10.0.0.1 255.255.255.255
!

!
line vty 0 4
 access-class 8 in
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in
 password cisco
 login
 transport input all
!

  

최종 사용자: 

!
interface GigabitEthernet0/0
 description LINK TO REMOTE SITE
 ip vrf forwarding MGMT
 ip address 192.168.100.2 255.255.255.252
 duplex auto
 speed auto
!

다음을 확인합니다.

이 섹션을 사용하여 컨피그레이션이 제대로 작동하는지 확인합니다.

vrf-also 키워드가 원격 디바이스의 액세스 클래스 vty 0 15 컨피그레이션에서 사용되기 전에

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host

해당하는 ACE 수가 증가하면 원격 디바이스의 패킷 적중 수가 증가합니다.

RemoteSite#show ip access-lists 8
Standard IP access list 8
    10 permit 192.168.100.2 log (3 matches)

그러나 vrf-also 키워드가 행 vty 0 15의 access-class에 추가되면 텔넷 액세스가 허용됩니다.

정의된 동작에 따라 Cisco IOS 디바이스는 기본적으로 모든 VTY 연결을 허용합니다.그러나 access-class를 사용하는 경우 연결이 전역 IP 인스턴스에서만 도착해야 한다고 가정합니다.그러나 VRF 인스턴스의 연결을 허용하려는 요구 사항과 요구 사항이 있는 경우 의 해당 access-class 문과 함께 vrf-also 키워드를 사용합니다.
라인 컨피그레이션.

!
line vty 0 4
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
!

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open

User Access Verification

Password:
RemoteSite>

문제 해결

이 섹션에서는 컨피그레이션 문제를 해결하는 데 사용할 수 있는 정보를 제공합니다.

VRF 기반 문제 해결이 필요할 수 있습니다.관련 인터페이스가 모두 동일한 VRF에 있고 동일한 VRF 내에 연결성이 있는지 확인합니다.

또한 관련 SSH 및 텔넷 관련 문제 해결이 필요할 수 있습니다.