Назад | Перейти на главную страницу

как внести в белый список или запретить «включить» IP-адрес в коммутаторе cisco 3750

У меня есть коммутатор Cisco 3750, и я хочу изменить разрешающие / запрещающие IP-адреса, которые могут получить к нему доступ в режиме ssh и "enable". Не знаю, как это сделать, и похоже, что в Google практически невозможно получить эту информацию.

Насколько я знаю, вы не можете устанавливать разрешения для enable режим на основе IP-адреса.

По крайней мере, вы можете контролировать, каким IP-адресам разрешено подключаться к вашему коммутатору по SSH / Telnet с помощью списков ACL, но как только они подключены в пользовательском режиме, они уже подключены, поэтому они могут вызывать enable привилегированный режим (конечно, они должны знать пароль, чтобы идти дальше ...).

Контролировать SSH доступ на основе IP-адреса с использованием ACL, подход будет примерно таким:

ip access-list extended Manage-SSH
permit tcp host 192.168.1.10 host 0.0.0.0 eq 22
permit tcp host 192.168.1.11 host 0.0.0.0 eq 22
deny ip any any log

line vty 0 4
access-class Manage-SSH
transport input ssh

РЕДАКТИРОВАТЬ :

Как мне добавить IP-адрес в список разрешений и запретить все остальное или удалить IP из уже существующего списка разрешенных?

Для всего этого вам нужно будет ввести config mode а затем отредактируйте ACL:

R1#conf terminal
R1(config)#ip access-list extended Manage-SSH

Тогда отсюда:

  • Чтобы разрешить новый IP (192.168.1.12):

    R1(config-ext-nacl)#permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1(config-ext-nacl)#end

  • Чтобы удалить ip (192.168.1.12) просто добавьте к команде префикс no :

    R1(config-ext-nacl)#no permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1(config-ext-nacl)#end

  • Отрицать все остальное: уже ответил, если мой первоначальный ответ.

    Вам нужно завершить свой ACL с помощью:

    deny ip any any log

    Это означает, что то, что явно не разрешено предыдущими permit... команда будет отклонена.

РЕДАКТИРОВАТЬ 2:

Что касается комментариев, которые у нас были, вот тестовый пример.

Мы собираемся :

  1. Создайте новый разрешенный доступ в списке доступа Manage-SSH
  2. Удалить это разрешение из списка доступа Manage-SSH

Создайте :

R1#conf terminal
R1(config)#ip access-list extended Manage-SSH
R1(config-ext-nacl)#permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1(config-ext-nacl)#end
R1#show access-lists
Extended IP access list Manage-SSH
    permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1#

Удалить :

R1#conf terminal
R1(config)#ip access-list extended Manage-SSH
R1(config-ext-nacl)#no permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1(config-ext-nacl)#end
R1#show access-lists
Extended IP access list Manage-SSH
R1#

Список доступа теперь пуст.

Теперь сделайте то же самое со своим ACL 115 (замените Manage-SSH по 115 во всех командах), но предупреждение !! Кажется, ты действительно не знаешь, что делаешь, так что иди осторожно если мы говорим о живом переключателе.