Назад | Перейти на главную страницу

Конфигурация маршрутизатора Cisco IOS - как отключить SSH / SNMP для всех адресов, кроме loopback?

Простите за наивный вопрос; быстрое чтение документации cisco не дает ответа на этот вопрос ...

Итак, у меня есть маршрутизатор (скажем, ради аргумента, 4500, работающий под управлением IOS 15.x)

Он имеет интерфейсы в 3 разных подсетях - 10.0.0.1/24, 10.0.1.1/24 и 10.0.2.1/24. Он также имеет адрес обратной связи 172.16.0.33.

Как мне сделать так, чтобы SSH / SNMP и другой административный трафик работал на адресе 172, но не работал на IP-адресах, которые я хочу использовать только для пересылки L3?

В идеале это можно сделать, отключив доступ плоскости управления к этим интерфейсам, не только с помощью ACL, но и без того, мне все равно, пока он работает ...

Спасибо!

Контроль плоскости управления будет самой чистой реализацией

Сначала создайте ACL, который соответствует трафику, который вы в конечном итоге отбросите.

ip access-list extended DROP
 permit tcp any host 10.0.0.1 eq 22
 permit tcp any host 10.0.1.1 eq 22
 permit tcp any host 10.0.2.1 eq 22
 permit udp any host 10.0.0.1 eq snmp
 permit udp any host 10.0.1.1 eq snmp
 permit udp any host 10.0.2.1 eq snmp

Затем создайте карту классов, которая соответствует ACL, который вы создали выше:

class-map SNMP_AND_SSH_TO_NON_LOOPBACK
 match access-group name DROP

Затем создайте карту политик с действием DROP для желаемого трафика.

policy-map CONTROL_PLANE_POLICING
 class SNMP_AND_SSH_TO_NON_LOOPBACK
  drop

Наконец, примените политику уровня управления к своей плоскости управления.

control-plane
 service-policy input CONTROL_PLANE_POLICING

Любой трафик, предназначенный для плоскости управления, который НЕ соответствует вашему списку доступа, будет ПРОХОДИТ (это включает трафик SNMP и SSH, предназначенный для адреса обратной связи)

Вы не можете отключить демон на интерфейсе. ACL - это то, что нужно. Фильтрация должна выполняться по исходному адресу, а не по адресу назначения.

Пример конфигурации:

line vty 0 4
 access-class secure_vty in
 ipv6 access-class secure6_vty in


ip access-list standard secure_vty
 permit 172.16.10.0 0.0.0.255
 deny any

ipv6 access-list secure6_vty
 deny ipv6 any any

В этом конфиге 172.16.10.0/24 это ваша сеть управления, в которой у вас есть NMS, и у вас нет ipv6 на NMS, но есть на коммутаторе, поэтому он должен быть защищен.

Не забудьте также отключить sshv1 который включен по умолчанию:

Router(config)# ip ssh version 2