Announcement

**sinhvienngheo** · 19-11-2003, 11:39 AM

Lan Hương,

Lệnh no line vty 0 4 là không có.

Bây giờ em muốn mở rộng bài toán này thêm chút xíu nữa, mong mọi người tham gia.

Mô tả: Mỗi khi ta telnet vào router, ta chiếm 1 line trong line vty.

Ví dụ:
Người dùng telnet 1 dùng line vty 1. Phiên telnet kế tiếp chiếm line 2....

Yêu cầu: làm sao để cấu hình chỉ cho phép telnet vào hai line nào đó trong số 4 line, ví dụ line 2 và 4. Một số người dùng khác chỉ được quyền telnet vào các line còn lại, ví dụ 1 và 3.

Mong được trao đổi thêm,

**titanevn** · 01-12-2003, 11:47 AM

chưa đọc đến phần này nên chưa làm được, có ai có chiêu gì không? hay là phải config trực tiếp lên từng VTY Line??

help!

**it_email** · 04-12-2003, 02:56 PM

dùng Extended ACLs để chặn lại.note điều này vì khi thi bài lab của mình nó ko hỗ trợ câu lệnh access-class trên version của software đó,nhưng lại bắt dùng ACLs để chặn lại.Trường hợp này chỉ có dùng extended ACLs mới được

**tamlangthang** · 04-12-2003, 03:09 PM

it_email oi su dung extended ACLs nhu the nao vay? cho minh mot vi du di , gom nhung lenh gi vay

**titanevn** · 04-12-2003, 04:46 PM

Như thế này có được không nhỉ? mong được chỉ giáo thêm!

ip access-list extended notelnet
deny tcp any host <router ip> eq telnet
permit tcp any any
permit udp any any

**titanevn** · 04-12-2003, 04:50 PM

hình như còn phải config trên line gì đó nữa thì phải????

help please!

**it_email** · 08-12-2003, 10:15 AM

Originally posted by tamlangthang

it_email oi su dung extended ACLs nhu the nao vay? cho minh mot vi du di , gom nhung lenh gi vay

Giả sử topology sau: R1--------R2
R2 có 3 interface S0,E0 và E1 với ip add lần lượt là :192.168.0.1, 10.0.0.1, 10.0.1.1
Yêu cầu chặn telnet vào R2 từ tất cả các host bên ngoài,cho phép tất cả các traffic khác.
Dùng Extended ACLs:
R2(config)#access-list 101 deny tcp any host 192.168.0.1 eq telnet
R2(config)#access-list 101 deny tcp any host 10.0.0.1 eq telnet
R2(config)#access-list 101 deny tcp any host 10.0.1.1 eq telnet
R2(config)#access-list 101 permit ip any any
R2(config)#int s0
R2(config-if)#ip access-group 101 in
R2(config-if)#int e0
R2(config-if)#ip access-group 101 in
R2(config-if)#int e1
R2(config-if)#ip access-group 101 in
hoặc cách như tuanevnit nhưng ở thuật toán của câu lệnh permit đánh thế này:
permit ip any any

**lee** · 16-12-2003, 08:41 AM

nhưng cho mình hỏi thêm tí, trong ICND có nói là chặn telnet thì dùng standard ACL,và access-class còn như bạn nói software không hỗ trợ là khi đi thi đó hả? Vậy thì mình phải chặn tất cả interface sao? Wải wa nhỉ. Nhưng đó hình như là cách còn lại duy nhất phải không?
SVN,
Theo mình thì mình không thể chọn được line cho remote telnet vào được, vì theo mình default của session đầu tiên phải là line 0,do đó khi cấu hình cho line thì mình chỉ có thể cấu hình từ line 0 trở đi mà thôi, còn cho phép mấy line thì tùy mình, vậy cho mình hỏi thêm 1 vấn đề nữa: remote chiếm line có thứ tự mấy có ảnh hưởng gì khi telnet không? Hay chỉ là số thứ tự để local dễ kiểm soát. Remote có thể cấu hình để chiếm line không nhỉ? Vì nếu có 4 session nhưng cả 4 đều đã có người telnet rồi chẳng hạn!!!!

**dangquangminh** · 28-12-2003, 06:11 PM

Originally posted by lee

nhưng cho mình hỏi thêm tí, trong ICND có nói là chặn telnet thì dùng standard ACL,và access-class còn như bạn nói software không hỗ trợ là khi đi thi đó hả? Vậy thì mình phải chặn tất cả interface sao? Wải wa nhỉ. Nhưng đó hình như là cách còn lại duy nhất phải không?
!!!!

Hi,

Để chặn telnet vào routers, chỉ cần dùng standard access-list là đủ (như binhdq) đã đề cập.

Ví dụ: để cấm máy 14.2.9.1 telnet vào router:

Central(config)# access-list 99 deny 14.2.9.1 log
Central(config)# access-list 99 permit any log

Sau đó apply bằng access-class:

Central(config)# line vty 0 4
Central(config-line)# access-class 99 in
Central(config-line)#
Central(config-line)# login local
Central(config-line)#
Central(config-line)# exec
Central(config-line)# end
Central#

Lúc Lee thi không thể dùng cách trên trong SIM của đề thi à?

Thân,

**lee** · 30-12-2003, 09:32 AM

lúc em thi thì không được sử dụng access class, nhưng ý em hỏi là có cách nào chặn telnet ngoài cách dùng access class và chặn tại các physical interface không anh? Còn về vụ line của SVN nói nữa, có ai phát biểu hộ ý kiến giúp với?

**ca_voi** · 31-12-2003, 09:34 PM

Hi,

ca_voi sắp sửa về nhà (đang làm) để ăn Tết Tây, đốt pháo, rồi, nhưng cũng muốn góp ý với lee nhé:

Nếu phải ngăn không cho ai, telnet vào router của mình, bất cứ ở nơi nào:
(mà như lee nói không được sử dụng ACL)

1- không gài password, đã có nhiều người nói rồi:
lin vty 0 4
no password

Mỗi lần ai telnet vào router của mình, nó sẽ nói:
--> Password required, but none set

2- không nhận telnet ở VTY:
lin vty 0 4
transport input none

Mỗi lần ai telnet vào router của mình, nó sẽ nói:
--> Connection refused by remote host

Còn muốn chặn tại physical interface (không dùng ACL) thì chắc chỉ có cách không gài IP-address vào đó thui...

Chúc mọi người vui vẻ,

**vunglaynetwork** · 04-01-2004, 11:29 AM

Hi all,
Cái lệnh #no line vty04 không những không cấm truy xuất vào Telnet mà còn không dùng đến vty04 nữa, có nghĩa là bạn sẽ không bao giờ tiếp cận đến vty04 luôn đó, nếu dùng lệnh này vĩnh viễn không sử dụng đến Telnet nữa đó bạn à, nhung mình nghĩ bạn (Lan Hương) có th :lol:

**duyvk** · 22-06-2004, 12:03 PM

Cấm telnet vào router chỉ với 3 lệnh? Anyone?

trong ******** V27/28 câu 54 hỏi về access list như sau:

cấm Telnet vào router ********1 với tối đa 3 câu lệnh:
*******1
E0 192.168.149.1 S0 192.168.199.1
đáp án:
access-list 101 deny tcp any 192.168.149.1 0.0.0.0 eq 23
access-list 101 deny tcp any 192.168.199.1 0.0.0.0 eq 23
access-list 101 permit ip any any
interface e0
ip access-group 101 in
interface s0
ip access-group 101 in

đáp án dài quá, không biết có thể dùng cách sau:
access-list 50 deny any
line vty 0 4
access-class 50 in

**admin** · 22-06-2004, 02:12 PM

Hi Duy

Thử tham khảo các cách làm ở link này trước: một thảo luận cực hay của các thành viên

Vietnamese Professional

http://vnpro.org/forum/viewtopic.php?t=2402

**kokichi81** · 22-06-2004, 05:12 PM

Theo mình thì như thế này
line vty 0 4
login
no password
Mhư vậy mọi người ở ngoài sẽ không telnet vào router được.

Announcement

Ngăn không cho telnet vào router

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment

Comment