Приветствую!Имеется коммутатор 3750. На нем несколько VLAN, скажем:
interface Vlan16
ip address 10.0.16.1 255.255.255.0
!
interface Vlan116
ip address 10.0.116.1 255.255.255.0
!
interface Vlan216
ip address 10.0.216.1 255.255.255.0
Акцесные порты есть для всех вланов, к ним подключены рабочие станции.Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, HTTP) был только НА один адрес, например, 10.0.216.1?
>[оверквотинг удален]
>!
>interface Vlan116
>ip address 10.0.116.1 255.255.255.0
>!
>interface Vlan216
>ip address 10.0.216.1 255.255.255.0
Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в Line vty с помощью строки access-class
>Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в
>Line vty с помощью строки access-classПробую:
access-list 100 permit tcp any host 10.0.216.1 eq telnet
access-list 100 deny tcp any any eq telnetline vty 0 4
access-class 100 inНе работает - вообще ни по каким IP не телнетится (
Что не так?
Насколько я помню надо в акцес листе ставить вначале запрет а потом разрешение тоесть привести к такому видуaccess-list 100 deny tcp any any eq telnet
access-list 100 permit tcp any host 10.0.216.1 eq telnetдолжно так сработать, но могу и ошибаться.
>Насколько я помню надо в акцес листе ставить вначале запрет а потом
>разрешение тоесть привести к такому виду
>
>access-list 100 deny tcp any any eq telnet
>access-list 100 permit tcp any host 10.0.216.1 eq telnet
>
>должно так сработать, но могу и ошибаться.Именно ошибаетесь.
> Насколько я помню надо в акцес листе ставить вначале запрет а потом
> разрешение тоесть привести к такому виду
> access-list 100 deny tcp any any eq telnet
> access-list 100 permit tcp any host 10.0.216.1 eq telnet
> должно так сработать, но могу и ошибаться.Наоборот не пробовали? ;)
access-list 100 permit tcp any host 10.0.216.1 eq telnet
access-list 100 deny tcp any any eq telnetНу, и, вообще, полезно ограничить трафик по Соурсу....
ip acce ex vty_in
permin tcp xxx.xxx.xxx.xxx(Network) yyy.yyy.yyy.yyy (mask) 10.0.216.1 eq telnet
deny any any eq telnet log (так, на всякий случай ;) )
>[оверквотинг удален]
>Пробую:
>
>access-list 100 permit tcp any host 10.0.216.1 eq telnet
>access-list 100 deny tcp any any eq telnet
>
>line vty 0 4
>access-class 100 in
>
>Не работает - вообще ни по каким IP не телнетится (
>Что не так?Так и есть. Подобным образом можно фильтровать только адреса источников телнета к сожалению(
На рутерах эта проблема решается настройкой control-plane.
А на коммутаторах - только аксес листами на входящих интерфейсах.Идиотизм конечно, что по умолчанию на любой интерфейс телнетиться можно(
>[оверквотинг удален]
>>!
>>interface Vlan116
>>ip address 10.0.116.1 255.255.255.0
>>!
>>interface Vlan216
>>ip address 10.0.216.1 255.255.255.0
>>Акцесные порты есть для всех вланов, к ним подключены рабочие станции.
>>
>>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH,
>>HTTP) был только НА один адрес, например, 10.0.216.1?Кроме создания правильного списка ACL и повешения его на line vty 0 15
следует также выделить VLAN, в которой не будет рядовых пользователей,
т. е. не назначать в эту VLAN никакие порты доступа, к которым подключены
какие-либо рядовые пользователи. Тогда через
локальный порт доступа коммутатора в эту VLAN попасть не получится, только через консольный или удаленно по SSH или Telnet. Чтобы снизить возможность
доступа в VLAN управления из других VLANов (и вообще - из других IP-сетей),
на интерфейс этой VLAN управления также можно повесить ACL. Пример:
!
interface vlan 500
description Management VLAN
!Адреса в VLAN управления могут принадлежать только коммутаторам,
!поэтому можно маску удлиннить например до /26 или /28 по числу коммутаторов:
ip address N1.N2.N3.x1 255.255.255.240
!Вешаем ACL на VLAN:
ip access-group Restriction in
!
!ACL, который вешается на VLAN управления:
ip access-group extended Restriction
10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet
20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh
30 deny tcp any host N1.N2.N3.x1 eq telnet log
40 deny tcp any host N1.N2.N3.x1 eq ssh log
!
На остальных коммутаторах выделяете ту же самую VLAN управления
и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x
>[оверквотинг удален]
> !
> !ACL, который вешается на VLAN управления:
> ip access-group extended Restriction
> 10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet
> 20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh
> 30 deny tcp any host N1.N2.N3.x1 eq telnet log
> 40 deny tcp any host N1.N2.N3.x1 eq ssh log
> !
> На остальных коммутаторах выделяете ту же самую VLAN управления
> и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.xВообще-то такие списки надо вешать на каждую VLAN, задавая таким образом Policy-Based Connectivity. Это стандартный и уже устаревший способ разделения трафика различных VLAN в кампусной сети. Такой способ плохо масштабируется - приходится писать ACL для каждой VLAN на каждом коммутаторе уровня распределения. Другой вариант реализации связности на основе политик - это разделение трафика из конца в конец (Path isolation end-to-end) посредством использования VRF-Lite или MPLS VPN.