Telnetのトラブル その2 解答と解説 【CCNP/CCIEレベル】
目次
解答
- R1にTelnetできない理由は何ですか。
VTYラインにすべての送信元IPアドレスをdenyするアクセスリストが適用されているから。また、VTYラインで認証が有効化されているが、パスワードを設定していないから。
- R1にTelnetできるようにするためには、どのように設定を修正すればよいですか。
R1
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ line vty 0 4 no access-class 1 in password cisco ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ワンポイント
- VTYラインにアクセスリストを適用して、VTYラインに接続するホストのIPアドレスを制限できる
- VTYラインでloginコマンドによってVTYラインの認証を有効化する
解説
VTYラインについての基本的な設定に関する設定ミスです。今回のトラブルでは、以下の2点について設定ミスがあります。
- VTYラインのアクセス制御
- VTYライアンの認証
【VTYラインのアクセス制御】
VTYラインにアクセスする送信元ホストのIPアドレスを制限することができます。そのためには、VTYラインでアクセスリストを適用します。R1でVTYラインのアクセス制御を確認すると次のようになります。
R1 VTYラインのアクセス制御
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#show running-config | section line vty line vty 0 4 access-class 1 in login transport input all R1#show access-lists Standard IP access list 1 10 deny any ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
VTYラインにアクセスリスト1が適用されていますが、アクセスリスト1はすべての送信元IPアドレスをdenyしています。つまり、R1はどのようなIPアドレスのホストからでも、VTYラインにアクセスできないようにしています。そのため、R2からR1にTelnetすると、以下のようにVTYアクセスが拒否されてしまうことになります。
R2 R1へTelnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2#telnet 192.168.0.1 Trying 192.168.0.1 ... % Connection refused by remote host ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
これを解消するために、R1でVTYラインのアクセス制御を解除します。
R1 VTYラインのアクセス制御の解除
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ line vty 0 4 no access-class 1 in ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【VTYラインの認証】
VTYラインのアクセス制御を解除したあと、R2からR1にTelnetすると、まだTelnet
できませんが、ログの出力に変化があります。
R2 R1へTelnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2#telnet 192.168.0.1 Trying 192.168.0.1 ... Open Password required, but none set [Connection to 192.168.0.1 closed by foreign host] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R2からR1へTelnetしてVTYへのアクセスはできているのですが、パスワードが設定されていないため、認証ができずにVTYアクセスが切断されていることがわかります。R1のVTYラインの設定をあらためて確認します。
R1 VTYラインの確認
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R1#show running-config | section line vty line vty 0 4 login transport input all ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1では、VTYライン上でloginコマンドによって認証を有効化していることがわかります。loginコマンドはVTYライン上のパスワードを利用した認証です。そのため、認証に必要なパスワードをVTYライン上に設定します。
R1 VTYラインのパスワード設定
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ line vty 0 4 password cisco ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
R1でVTYラインのパスワードを設定したあと、再度、R2からR1へTelnetすると
正常にVTYラインにアクセスできることがわかります。
R2 R1へTelnet
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ R2#telnet 192.168.0.1 Trying 192.168.0.1 ... Open User Access Verification Password: R2> ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【設定ミスのまとめ】
以下の図は、設定ミスについてまとめたのもです。