• Главная
  • Cisco
  • Как отключить Telnet и включить SSH на устройствах Cisco

Как отключить Telnet и включить SSH на устройствах Cisco

  • 11.02.2025

  • 1050 просмотров

  • 3 минуты

Мне стоило написать эту статью еще в самом начале создания этого блога, ведь это один из самых базовых этапов настройки управления сетевыми устройствами Cisco (маршрутизаторами, коммутаторами, межсетевыми экранами и т. д.).

Отключение Telnet и включение SSH на сетевом устройстве — это не только базовая настройка, но и важный шаг к повышению безопасности всей сети. В наши дни зашифрованное соединение — это необходимость, хотя еще несколько лет назад многие специалисты не уделяли этому должного внимания.

Существует несколько способов управления устройствами Cisco. Вот самые распространенные из них:

  • Прямой доступ через консоль – использование специального последовательного кабеля для подключения к консольному порту и получения доступа к командной строке (CLI) устройства.
  • Доступ по Telnet – удаленное управление устройством через сеть. Предоставляет аутентифицированный доступ к командной строке, но весь трафик передается в незашифрованном виде.
  • Доступ по SSH – аналогично Telnet, позволяет удаленно управлять устройством через сеть, но весь трафик зашифрован с помощью протокола SSH, что делает этот способ более безопасным.

Существуют и другие способы управления устройствами (в зависимости от их модели), такие как доступ через веб-интерфейс по HTTPS или управление с помощью специализированных приложений. Однако три перечисленных метода — консольный доступ, Telnet и SSH — являются самыми распространенными.

Кроме того, отключение Telnet и включение SSH считается одной из лучших практик, рекомендовано для защиты уровня управления устройствами Cisco IOS.

Отключение Telnet на маршрутизаторах и коммутаторах Cisco

Прежде чем перейти к настройке, важно понять, что доступ Telnet (как и SSH) на устройствах Cisco осуществляется через виртуальные терминальные линии — VTY (Virtual Terminal Lines).

В зависимости от версии IOS, количество VTY-линий может отличаться:

  • IOS до версии 12.2 — 5 VTY-линий (от 0 до 4).
  • IOS версии 12.2 и выше — 16 VTY-линий (от 0 до 15).

Чтобы полностью отключить Telnet, необходимо запретить его использование на всех VTY-линиях. Вот конфигурация, которая отключает Telnet и любой другой удаленный доступ:

CiscoDevice(config)# line vty 0 15 (Настройте все 16 линий)
CiscoDevice(config-line)# transport input none (Отключите Telnet)

Если применить указанную выше конфигурацию, единственным способом подключения к маршрутизатору или коммутатору останется прямой доступ через консольный порт.

Контролируемый доступ к Telnet

Другой способ контролировать доступ к Telnet на маршрутизаторах и коммутаторах — это применить Список управления доступом (ACL) к VTY-линий и разрешить подключение только с конкретных управляемых IP-адресов.

С этим методом вы не отключаете Telnet полностью, а лишь контролируете доступ к нему.

CiscoDevice(config)# enable secret strongenablepass (Настройте пароль)
CiscoDevice(config)# access-list 10 permit 192.168.1.0 0.0.0.255 (Создайте ACL)

CiscoDevice(config)# line vty 0 15
CiscoDevice(config-line)# access-class 10 in (Разрешите доступ к устройству только указанной подсети)

CiscoDevice(config-line)# password strongtelnetpass (Настройте пароль)
CiscoDevice(config-line)# login (Запрашивать пароль Telnet)

Включение SSH на маршрутизаторах/коммутаторах Cisco

Включив SSH и настроив этот транспортный протокол на VTY-линии устройства IOS, вы автоматически отключите Telnet.

Давайте рассмотрим, как включить SSH. Для начала нужно сгенерировать ключи SSH, а затем включить транспорт SSH на VTY-линии.

CiscoDevice# config terminal

CiscoDevice(config)# enable secret strongenablepass (Настройте пароль)

CiscoDevice(config)# username admin password adminpass (Создайте локального пользователя, если у вас нет внешнего сервера AAA)

CiscoDevice(config)# hostname SW01

SW01(config)# ip domain-name mycompany.com (Настройка имени хоста и доменного имени, необходима для создания SSH-ключей)

SW01(config)# ip ssh version 2 (Используйте более безопасный SSH v2)

SW01(config)# crypto key generate rsa modulus 2048

SW01(config)# ip ssh time-out 60

SW01(config)# ip ssh authentication-retries 3

SW01(config)# line vty 0 15

NewYork(config-line)# transport input ssh (Включает SSH и отключает Telnet на всех линиях VTY)

NewYork (config-line)# login local (Используйте локального пользователя для аутентификации)

Заключение

В этой статье мы рассмотрели, как отключить Telnet и включить SSH на устройствах Cisco для повышения безопасности. Использование SSH вместо Telnet гарантирует шифрование трафика и защищает устройства от несанкционированного доступа.

Еще записи из этой же рубрики
  • Что такое виртуальный интерфейс коммутатора Cisco (SVI)?
    Что такое виртуальный интерфейс коммутатора Cisco (SVI)?
  • Режимы командной строки Cisco IOS
    Режимы командной строки Cisco IOS
  • Как сбросить маршрутизатор или коммутатор Cisco до заводских настроек
    Как сбросить маршрутизатор или коммутатор Cisco до заводских настроек
  • Сравнение протоколов LLDP и CDP на сетевых устройствах Cisco
    Сравнение протоколов LLDP и CDP на сетевых устройствах Cisco
😍 Популярное
  • Самые важные команды Show в Cisco, которые вы должны знать
    Самые важные команды Show в Cisco, которые вы должны знать
    19461
  • Сравнение тегированных, нетегированных и Native VLAN в сетях Ethernet
    Сравнение тегированных, нетегированных и Native VLAN в сетях Ethernet
    11957
  • Как настроить Loopback на роутере и коммутаторе Cisco
    Как настроить Loopback на роутере и коммутаторе Cisco
    8229
  • Справочник по сетевым командам в операционной системе Linux
    Справочник по сетевым командам в операционной системе Linux
    6959

    Что будем искать? Например,Cisco

    Открыть
    Минуту внимания
    Мы используем файлы cookie и рекомендательные технологии. Пользуясь сайтом, вы соглашаетесь с Политикой обработки персональных данных.