限制路由器虛擬終端的連接訪問

　　對于網(wǎng)絡(luò)管理員來說，關(guān)于路由器的安全可以做的事情很多。如堵住安全漏洞、避免身份危機(jī)、限制邏輯訪問等。我們也有可能為控制臺(tái)和虛擬終端連接配置了一個(gè)用戶名和密碼提示，這些措施固然重要。不過，我們還要注意實(shí)施其它方面的安全功能。

　　基礎(chǔ)知識(shí)

　　我們可以采取的一項(xiàng)重要的安全措施是實(shí)施訪問控制列表(ACL)，它實(shí)現(xiàn)的是基本的安全。共有兩種類型的訪問控制列表：數(shù)字的和名稱的。這兩種類型中的每一種都可分為標(biāo)準(zhǔn)的和擴(kuò)展的。

　　數(shù)字式的訪問列表：在操作系統(tǒng)中，數(shù)字1到99和1300到1999是為標(biāo)準(zhǔn)的訪問列表準(zhǔn)備的，而數(shù)字100-199和數(shù)字2000-2699是為擴(kuò)展訪問列表保留的。在本文中，我們僅僅使用一個(gè)基本的訪問控制列表來保護(hù)我們的虛擬終端連接端口即VTY端口。簡言之，我們僅允許某些IP地址或某些網(wǎng)絡(luò)地址能夠遠(yuǎn)程登錄(telnet)到我們的路由器。

　　名稱式的訪問列表：一個(gè)名稱式訪問控制列表允許我們通過一個(gè)包括文字和數(shù)字的名稱來引用它。這也就意味著不再使用數(shù)字，我們的訪問列表可以具備一個(gè)有意義的名字，如“manage_telnet”,這個(gè)名字使得其意義和目的非常清楚。

　　標(biāo)準(zhǔn)的訪問列表：借助于標(biāo)準(zhǔn)的訪問列表，我們可以指定數(shù)據(jù)包的源地址。因此，我們可以檢查數(shù)據(jù)包來自哪里，并且根據(jù)數(shù)據(jù)包的源IP地址，我們可以或者允許，或者拒絕這種通信。

　　擴(kuò)展的訪問列表：通過擴(kuò)展的訪問列表，我們能夠更加精細(xì)地控制細(xì)節(jié)。除了可以控制源IP地址，我們還可以控制目的IP地址，我們還可以檢查源端口號(hào)和目的端口號(hào)，甚至可以檢查許多其它的高級(jí)參數(shù)，如TCP與UDP、ICMP的比較等。

　　實(shí)例

　　在本文的例子中，我們將使用數(shù)字式的標(biāo)準(zhǔn)訪問列表。我們將使用訪問列表號(hào)1，雖然可以從標(biāo)準(zhǔn)訪問列表范圍中選擇任意一個(gè)數(shù)字。也就是說我們能夠檢查這個(gè)數(shù)據(jù)包的源IP地址。

　　在這里，筆者只想允許一個(gè)人能夠登錄到路由器(您該不會(huì)希望有很多人可以登錄到您的路由器吧?)。只需先寫出訪問列表，然后將其應(yīng)用于我們的VTY端口(用于遠(yuǎn)程登錄)。我們將用“*”來控制特定的位模式，并只允許采用幾乎任何組合的特定的網(wǎng)絡(luò)/子網(wǎng)。

　　此外，在這里有一些免費(fèi)的白皮書討論這些問題。您可以根據(jù)自己的路由器和網(wǎng)絡(luò)參考其中的配置。

　　下面具體看一個(gè)實(shí)例：
　　
　　以下是引用片段：
　　bbone_ok>enable
　　bbone_ok #config t
　　bbone_ok (config)#access-list 1 permit 130.107.12.114

在這幾行中，我們僅僅進(jìn)入了全局配置模式，創(chuàng)建了一個(gè)訪問列表號(hào)1，并只允許源自130.107.12.114的數(shù)據(jù)包。那么，我們?nèi)绾沃肋@是一個(gè)源地址而不是目標(biāo)地址呢?很簡單，因?yàn)檫@是一個(gè)標(biāo)準(zhǔn)的訪問列表(1是標(biāo)準(zhǔn)訪問列表范圍中的第一個(gè)數(shù)字)，而且此標(biāo)準(zhǔn)訪問列表所能做的唯一事情就是檢查源IP地址。

　　到目前為止，這個(gè)訪問列表還沒有做任何事情，因?yàn)槲覀儾]有將其運(yùn)用到任何地方。為了便于理解，我們可以將這個(gè)訪問列表當(dāng)作一個(gè)安全警衛(wèi)。我們已經(jīng)雇用了這個(gè)安全警衛(wèi)，不過我們還沒有為他分配任務(wù)呢：該讓他警衛(wèi)哪一個(gè)門?可以通過使用show startup-config命令查看其“門”的配置，這個(gè)列表應(yīng)當(dāng)可以被運(yùn)用到我們希望控制的任何接口上。因?yàn)槲覀兿肟刂芕TY端口，所以先給出訪問VTY接口的命令：

　　以下是引用片段：
　　bbone_ok(config)#line vty 0 4
　　bbone_ok(config-line)#access-class 1 in

一旦我們進(jìn)入了行配置模式，就可以通過“access-class”命令應(yīng)用前面所創(chuàng)建的訪問列表1?！癮ccess-class”命令將此訪問列表應(yīng)用于行配置模式(即此處的VTY)。

　　如此一來，這就僅允許擁有IP地址130.107.12.114的用戶能夠登錄到我們的設(shè)備，其它的工作站都被禁止。

　　這個(gè)簡單的例子向我們展示了訪問控制列表的功能，但愿對你有所幫助。