Протокол telnet удобен, однако он небезопасен для прослушивания трафика и для взлома. Поэтому доступ к TCP-порту telnet лучше всего ограничить. Ниже это показано на примере.

Имеем роутер (C871), который одним интерфейсом смотрит в Интернет, и по VPN подключается к серверу VPN (ASA-5540) удаленного офиса. Задача - сделать так, чтобы можно было администрировать по протоколу SSH откуда угодно (подключаясь и через Интернет, и через локальную сеть), а по протоколу telnet - только изнутри (подключаясь либо с внутренней сети филиала, либо через канал VPN из офиса с ASA-5540, через её внутреннюю сеть). Проще всего было бы отключить доступ к telnet вообще, например:

(config)#line vty 0 4
(config)# transport input ssh
(config)# transport output all

Недостаток этого способа в том, что консоль telnet становится совсем недоступна из всех сетей, в том числе и из внутренних, что не удобно. Решить задачу можно, если наложить access-list на внутренний интерфейс:

ip access-list extended cons-Admin
 deny tcp any any eq telnet log
 permit ip any any

interface FastEthernet4
 ip address 83.219.a.b 255.255.255.248
 ip access-group cons-Admin in

Теперь по telnet можно коннектиться только через соединения по внутренней сети (через Интернет нельзя вообще, даже из наших публичных адресов). По SSH можно коннектиться откуда угодно (и через Интернет, и через локальную сеть). Такой вариант настройки хорош тем, что нельзя снаружи засниферить незащищенный пароль telnet, но надо помнить, что пароль к логину должен быть достаточно стойким к подбору (чтобы нельзя было подобрать его снаружи).