配置对支持 VRF 的设备的 Telnet/SSH 访问

下载选项

  • PDF     (234.5 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (105.6 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (77.4 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2016 年 10 月 12 日
文档 ID:200718

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

简介

本文档介绍如何配置通过虚拟路由和转发 (VRF),实现基于 Telnet 或安全外壳 (SSH) 的设备访问。

背景信息

在基于 IP 的网络中,VRF 技术允许路由表的多个实例在同一路由器中同时存在。由于路由实例相互独立,因此可使用相同或重叠的 IP 地址,而且相互之间不会冲突。由于无需多个路由器就可以对网络路径进行分段,因此增强了网络功能。

可以通过不同的路由表(也称为转发信息库 [FIB],每个路由实例一个路由表)在网络设备中实施 VRF。或者,同一个网络设备能够配置不同的虚拟路由器,每个虚拟路由器都有自己的 FIB,同一设备上的任何其他虚拟路由器实例都不可访问该 FIB。

Telnet 是一种在互联网或局域网上使用的应用层网络协议,通过虚拟终端连接提供面向文本的双向交互式通信。系统通过基于 8 位字节的传输控制协议 (TCP) 数据连接,在带内传输用户数据和 Telnet 控制信息。

SSH 是一种在非安全网络上用于安全运行网络服务的加密网络协议。目前已知的最佳示例应用就是用户远程登录计算机系统。

通常当这些技术一起使用时会造成混乱,尤其是当试图通过属于非全局路由 VRF 实例的接口远程接入设备的时候。

本配置指南仅出于示范目的而将 Telnet 用于管理访问。此说明对于 SSH 访问同样适用。

  

先决条件 

要求

本文档没有任何特定的要求。

使用的组件

本文档不限于特定的软件和硬件版本。 

注意:了解 VRF 和 Telnet 的基础知识。还建议了解 ACL 的知识。必须在设备和平台上支持VRF的配置。本文档适用于运行Cisco IOS的所有Cisco路由器,以及支持VRF和ACL的路由器。

本文档中的信息都是基于特定实验室环境中的设备编写的。本文档中使用的所有设备最初均采用原始(默认)配置。如果网络处于活动状态,请确保您了解所有命令的潜在影响。

配置

网络图

配置

远程设备端的配置:

!
interface GigabitEthernet0/0
 description LINK TO END USER
 ip vrf forwarding MGMT
 ip address 192.168.100.1 255.255.255.252
 duplex auto
 speed auto
!

!
interface Loopback1
 description LOOPBACK TO TELNET INTO FOR MANAGEMENT ACCESS
 ip vrf forwarding MGMT
 ip address 10.0.0.1 255.255.255.255
!

!
line vty 0 4
 access-class 8 in
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in
 password cisco
 login
 transport input all
!

  

最终用户端的配置: 

!
interface GigabitEthernet0/0
 description LINK TO REMOTE SITE
 ip vrf forwarding MGMT
 ip address 192.168.100.2 255.255.255.252
 duplex auto
 speed auto
!

验证

使用本部分可确认配置能否正常运行。

在 vty 0 15 线路的 access-class 中使用关键字 vrf-also 之前,远程设备的配置:

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/4 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ...
% Connection refused by remote host

随着相应 ACE 计数的增加,远程设备上的数据包命中数也随之上升。

RemoteSite#show ip access-lists 8
Standard IP access list 8
    10 permit 192.168.100.2 log (3 matches)

但是,在 vty 0 15 线路的 access-class 中添加关键字 vrf-also 后,设备允许 telnet 访问。

根据定义的行为,思科 IOS 设备默认接受所有的 VTY 连接。但是,如果使用 access-class,则意味着只能允许来自全局 IP 实例的连接。但如果需要允许来自 VRF 实例的连接,则在线路配置上使用 vrf-also 关键字及相应的 access-class 语句

!
line vty 0 4
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
line vty 5 15
 access-class 8 in vrf-also
 password cisco
 login
 transport input all
!

EndUser#ping vrf MGMT ip 10.0.0.1
Type escape sequence to abort.
Sending 5, 100-byte ICMP Echos to 10.0.0.1, timeout is 2 seconds:
!!!!!
Success rate is 100 percent (5/5), round-trip min/avg/max = 1/1/1 ms

EndUser#telnet 10.0.0.1 /vrf MGMT
Trying 10.0.0.1 ... Open

User Access Verification

Password:
RemoteSite>

故障排除

本部分提供了可用于对配置进行故障排除的信息。

有时需要执行基于 VRF 的故障排除。确保连接接口都位于同一 VRF 中并且在该 VRF 中可达。

此外,可能还需要执行 SSH 和 Telnet 相关的故障排除。

TAC Authored

由思科工程师提供

  • Gaurav Mahajan
    Cisco TAC Engineer
  • Prithvi Sharan
    Cisco TAC Engineer

此文档是否有帮助?

Feedback反馈

联系我们