对vty的几点理解.doc

对vty 的几点理解先说vty吧，Virtual typle terminal.虚拟类型终端，我理解主要是给telnet到路由器、交换机而用的：user-vty 0 4 (一共有个5条虚拟连接,交换机有16个连接)，其实Linux Unix也照样有。常见配置的原理:line是进入行模式的命令，Console、AUX、VTY、TTY都是行模式的接口，需要用line配置。 VTY是虚拟终端口，使用Telnet时进入的就是对方的VTY口。 路由器上有5个VTY口，分别0、1、2、3、4，如果想同时配置这5口，就line vty 0 4例子说明,建立及理论原因-看看下面的配置:line vty 0password 7 10440812000E (123,假设)loginline vty 1 4password 7 0119070F5E12 (321,其实我2个密码一样,3550上,加密后不知道为什么得到的不一样,另外2950上我发现是一样的.自己汗.)login这样登入设备的第一个连接用 123 为密码, 第二个连接登入进去时为 321，后面的2-5个连接都时 321 的密码)，因为第一次登入会验证vty 0 的配置，第二次验证 vty 1，类推.-在看看这个配置:line vty 0 4password 7 10440812000E login这个登入的设备的密码始终是一样.(总结 vty 0 4 ,其实就是0-4 的意思.汗.)-还看:line vty 0password 7 10440812000Eno loginline vty 1 4password 7 0119070F5E12no loginline vty 5 15exec-timeout 0 0password 7 070520474B10login经过我试验,因为我0 -4 条线路全部使用no login ,telnet上去的时候,第一级别不需要验证,当我用完0-4 条的时候,又开始验证密码了.1 vty 0 idle 00:00:09 192.168.1.1502 vty 1 idle 00:01:28 192.168.1.1503 vty 2 idle 00:04:13 192.168.1.1504 vty 3 idle 00:05:48 192.168.1.1505 vty 4 idle 00:06:41 192.168.1.150* 6 vty 5 idle 00:00:00 192.168.1.150(汗.本人完全测试.真的登了 5 次后开始.验证密码)-上面是登入,如果不想登入了,要删除line vty 0password 7 10440812000Eno loginline vty 1 4password 7 0119070F5E12no loginline vty 5 15exec-timeout 0 0password 7 070520474B10login按照一般的no . 测试一直显示:3550(config)#no line vty 0% Cant delete last 16 VTY lines (其实VTY 是IOS 里带的端口,删除不掉了.汗.)-解决方法:想删除VTY(不让VTY 登入)conf tline vty 0 4loginno password这样就不能从vty登入了,会提示:password not set，然后disconnect.(当你no password 取消掉了密码,telnet就会拒绝连接,这样就关闭了telnet)line vty 0 4 和line vty 5 15 有什么区别在思科交换机Catalyst 2950上show run下发现有两个line vty line vty 0 4 和line vty 5 15 分别有相应密码 。 请问这两个有什么区别？VTY是Cisco的设备管理的一种方式VTY(virtual type terminal) 虚拟终端连接VTY线路启用后,并不能直接使用,必须对其进行下面简单的配置才允许用户进行登录。1、配置登录密码如果想成功登录到设备，必须在line线路下使用命令password来定义登录密码，否则无法成功登录（注：如果全局已经启用了相关认证如AAA，则在此不必配置密码）注意:在此你配置的密码是保存在配置文件中的,即使你启用service password-encryption功能,它加密的方式也是一种可逆的加密,很容易破解,所以在使用过程中尽可能配置一个不同于特权模式中的密码。2、登录验证默认情况下，在line vty线路中，默认情况下使用的是系统默认的登录方式(要看你是否在全局启用了AAA等)，如果你需要在登录时指定认证模式，你可以使用login authentication命令进行指定。如果你想在登录时不需要用户输入密码，则可以使用no login命令进行指定（当然这很危险）特权模式的使用：通过VTY线路登录后，会进入用户模式，如果你需要进行特权模式，那么你必须配置登录特权模式的认证。使用案例：不同的线路上，可以配置不同的协议，如在line vty 0上配置telnet，在line vty 1上配置ssh，这样当SSH用户登录时，系统会让line vty 0空闲，而使用line vty 1进行连接。应用：在line vty 0-1上配置使用telnet协议，使用动态访问列表，在网络中进行严格的控制，以便只有网络管理人员才可以使用特殊通信；在2-10上配置SSH协议，用来进行设备管理。虚拟终端线（VTY）可以通过同步接口访问路由器。VTY线不像TTY线对应异步接口一样对应于同步接口。这是因为VTY线是在路由器上动态生成的，而 TTY线是静态物理端口。用户连接VTY线上的路由器时，这个用户连接的是接口上的虚拟端口。每个同步接口可以有多个虚拟端口。例如，几个Telnet连接可以在一个接口上建立（如以太网或串行接口）。路由器上的VTY线数由line vty number-of-lines全局配置命令定义。 虚拟访问接口是个临时接口，用于终止没有物理连接的输入PPP流。来自多个B通道的PPP流和L2F/L2TP帧在虚拟访问接口上重新组装。这些虚拟访问接口是终止分组的结构。虚拟访问接口从虚拟接口模板取得指令集。虚拟模板中配置的属性投射或复制到虚拟访问接口中。用户不能直接配置虚拟访问接口。这些虚拟访问接口是动态生成的，只在隧道或多链对话活动期间存在。对话结束后，虚拟访问接口也就消失。虚拟异步接口（也称VTY异步）用于支持通过非物理接口进入路由器的调用。例如，异步字符流调用在非物理接口上终止或登陆。这种调用包括面向字符协议（如V.120和X.25）上的向内Telnet、LAT、PPP和PAD调用。虚拟异步接口也用于终止L2F/L2TP隧道，它的传输通常伴随着多链对话。虚拟异步接口是用户不可配置的，是动态生成和实时删除的。虚拟异步接口用虚拟异步线访问。线路类型本节介绍拨号访问的不同线路类型，并介绍线路与接口之间的关系。说明 Cisco设备有四种线路：控制台、辅助、异步和虚拟终端线。不同路由器有不同线路类型数。具体配置见这些设备的软件和硬件配置指南。表I.1显示了可以配置的线路类型。表I.1 可以配置的线路类型线路类型接口说明编号规则CON或CTYConsole（控制台）通常用于登录路由器以进行配置线路0AUXAuxiliary（辅助）RS-232 DTE端口用作备份异步端口(TTY),不能用作第二控制台端口最后TTY线号加1TTYAsynchronous（异步）同异步接口，通常用于使用SLIP，PPP，ARA和XRemote等协议的远程节编号随平台而变，等于访问服务器或路由器支持的最大modem或异步接口数。VTYVirtualasynchronous（虚拟异步）用于路由器上的点拨号对话输入Telnet,LAT,X.25 PAD和同步端口协议翻译连接（如以右网和串行端口）最后TTY线号加2到指定的最大VTY线号。1. 输入interface line tty?命令浏览支持的最大TTY线数。2. 用line vty命令增加路由器上的VTY线数。用no line vty line-number全局配置命令删除VTY线。Line vty命令接受大于5到路由器当前配置所指定最大线数之间的线数。输入interface line vty ?命令浏览支持的最大VTY线数。用Show line 命令浏览路由器上每个线路的状态。H3C交换机用户界面当用户使用 Console 口、AUX 口、Telnet 或者SSH 方式登录H3C交换机的时候，系统会分配一个用户界面（也称为Line）用来管理、监控和用户间的当前会话。每个用户界面有对应的用户界面视图（User-interface view），在用户界面视图下网络管理员可以配置一系列参数，比如用户登录时是否需要认证、是否重定向到别的设备以及用户登录后的级别等，当用户使用该用户界面登录的时候，将受到这些参数的约束，从而达到统一管理各种用户会话连接的目的。目前系统支持的命令行配置方式有： Console 口本地配置 AUX 口本地或远程配置 Telnet 或SSH 本地或远程配置与这些配置方式对应的是三种类型的用户界面： Console 用户界面：用来管理和监控通过Console 口登录的用户。Console 口是一种线设备端口。提供Console 口，端口类型为EIA/TIA-232 DCE。 AUX 用户界面：用来管理和监控通过AUX 口登录的用户。AUX 口（Auxiliary port，辅助端口）也是一种线设备端口。提供AUX 口，端口类型为EIA/TIA-232 DTE，通常用于通过Modem 进行拨号访问。 VTY（Virtual Type Terminal，虚拟类型终端）用户界面：用来管理和监控通过VTY 方式登录的用户。VTY 口属于逻辑终端线，用于进行Telnet 或SSH 访问。目前每台最多支持5 个VTY 用户同时访问。用户与用户界面的关系用户界面的管理和监控对象是使用某种方式登录的用户，虽然单个用户界面某一时刻只能被一个用户使用，但它并不针对某个用户。比如用户A 使用Console 口登录时，将受到Console 用户界面视图下配置的约束，当使用VTY 1 登录时，将受到VTY 1 用户界面视图下配置的约束。根据硬件配备情况，一台上可能有多个Console 口、AUX 口，所以可能支持多个Console、AUX、VTY 用户界面，这些用户界面与用户并没有固定的对应关系。用户登录时，系统会根据用户的登录方式，自动给用户分配一个当前空闲的、编号最小的某类型的用户界面，整个登录过程将受该用户界面视图下配置的约束。同一用户登录的方式不同，分配的用户界面不同；同一用户登录的时机不同，分配的用户界面可能不同。用户界面的编号用户界面的编号有两种方式：绝对编号方式和相对编号方式。绝对编号方式使用绝对编号方式，可以唯一的指定一个用户界面或一组用户界面。由于在独立运行模式和IRF 模式下Console 口和AUX 口的数目有些不同，所以对应的绝对编号顺序也有所不同：(1) 独立运行模式：编号按照如下顺序：起始编号是0（CON 0），第2 个编号为1（CON 1），第3 个编号为2（AUX0），第4 个编号为3（AUX 1），第5 个编号为9（VTY 0），以此类推。3 种用户界面系统内部的划分顺序是Console 口、AUX 口、VTY，其中Console 口、AUX 口各占两个编号；VTY 用户界面的编号为913，使用display user-interface 可查看。(2) IRF 模式：编号按照如下顺序：起始编号是 0（Master 的CON 0），第2 个编号为1（Master 的CON 1），第3 个编号为2（Slave 的CON 0），第4 个编号为3（Slave 的CON 1），第5 个编号为4（Master的AUX 0），第6 个编号为5（Master 的AUX 1），第7 个编号为6（Slave 的AUX 0），第8 个编号为7（Slave 的AUX 1），第9 个编号为13