配置对设备的Telnet/SSH访问有VRF的

简介

本文描述设备访问或安全壳SSH的配置与Telnet的在虚拟路由和转发(VRF)间的。

背景信息

在基于IP的计算机网络中， VRF是允许路由表多个实例在同一路由器内同时共存的技术。由于路由实例独立，同样或重叠IP地址可以使用，不用任何冲突彼此。因为网络路径可以被分段，不用多个路由器的需求，网络功能改善。

VRF在网络设备也许实现由叫作转发信息库的明显的路由表(FIB)，一个每个路由实例。或者，网络设备可能有能力配置不同的虚拟路由器，每一个有其自己的FIB不是可访问对在同一个设备的其他虚拟路由器实例。

Telnet是在互联网或局域网用于的应用层协议(LAN)使用虚拟终端连接，提供双向交互文本导向通信设备。用户数据是与Telnet控制信息的被散置的带内在传输控制协议(TCP)的8位面向字节的数据连接。

SSH是安全地操作的网络服务一个密码网络协议在非安全网络。最响誉的示例应用程序是为远程登录到计算机系统由用户。

通常，当并用这些技术时，他们创建混乱，特别是当您设法通过属于一个非全局路由的VRF实例的接口时远程访问设备。

此配置指南使用Telnet作为管理访问表模范目的。概念可以为SSH访问也是被扩展。

  

先决条件 

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。 

Note:VRF和Telnet基本的了解。也推荐ACL知识。在设备和平台必须支持VRF的配置。 本文适用于运行Cisco IOS的所有Cisco路由器，并且支持的地方VRF和ACL。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始（默认）配置。如果网络实际，请确保您了解所有命令潜在影响。

配置

网络图

配置

在远程设备上：

!
interface GigabitEthernet0/0
 description LINK TO END USER
 ip vrf forwarding MGMT
 ip address 192.168.100.1 255.255.255.252
 duplex auto
 speed auto
!

!
interface Loopback1
 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
 ip vrf forwarding MGMT
 ip address 10.0.0.1 255.255.255.255
!

!
line vty 0 4
 access-class 8 in
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in
 password cisco
 login
 transport input all
!

  

在最终用户： 

!
interface GigabitEthernet0/0
 description LINK TO REMOTE SITE
 ip vrf forwarding MGMT
 ip address 192.168.100.2 255.255.255.252
 duplex auto
 speed auto
!

验证

使用本部分可确认配置能否正常运行。

在VRF也前关键字用于远程设备的line vty 0 15配置access-class ：

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host

在对应增加的远程设备增加的数据包命中数作为ACE计数。

RemoteSite#show ip access-lists 8
Standard IP access list 8
    10 permit 192.168.100.2 log (3 matches)

然而，在VRF也关键字在access-class被添加line vty 0 15后， Telnet访问允许。

默认情况下根据定义行为， Cisco IOS设备接受所有VTY连接。然而，如果使用access-class，假定是连接必须从全球IP实例仅到达。然而，如果有需求并且希望允许从VRF实例的连接，与在的对应的access-class语句一起使用VRF也关键字
line configuration。

!
line vty 0 4
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
!

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open

User Access Verification

Password:
RemoteSite>

故障排除

本部分提供了可用于对配置进行故障排除的信息。

VRF基于故障排除也许时常必要。保证有关的接口是全部在同样VRF，并且他们有在同样VRF内的可接通性。

并且，相关SSH和Telnet涉及故障排除也许是需要的。