https://www.opennet.ru/openforum/vsluhforumID6/21644.html Приветствую!<br><br>Имеется коммутатор 3750. На нем несколько VLAN, скажем:<br><br>[code]interface Vlan16<br>ip address 10.0.16.1 255.255.255.0<br>!<br>interface Vlan116<br>ip address 10.0.116.1 255.255.255.0<br>!<br>interface Vlan216<br>ip address 10.0.216.1 255.255.255.0[/code]<br>Акцесные порты есть для всех вланов, к ним подключены рабочие станции.<br><br>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, HTTP) был только НА один адрес, например, 10.0.216.1?<br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#8 Tue, 05 Oct 2010 13:00:28 GMT &gt;[оверквотинг удален]<br>&gt; !<br>&gt; !ACL, который вешается на VLAN управления:<br>&gt; ip access-group extended Restriction<br>&gt; 10 permit tcp &lt;source-network&gt; &lt;source-wildcard-mask&gt; host N1.N2.N3.x1 eq telnet<br>&gt; 20 permit tcp &lt;source-network&gt; &lt;source-wildcard-mask&gt; host N1.N2.N3.x1 eq ssh<br>&gt; 30 deny tcp any host N1.N2.N3.x1 eq telnet log<br>&gt; 40 deny tcp any host N1.N2.N3.x1 eq ssh log<br>&gt; !<br>&gt; На остальных коммутаторах выделяете ту же самую VLAN управления<br>&gt; и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x<br><br>Вообще-то такие списки надо вешать на каждую VLAN, задавая таким образом Policy-Based Connectivity. Это стандартный и уже устаревший способ разделения трафика различных VLAN в кампусной сети. Такой способ плохо масштабируется - приходится писать ACL для каждой VLAN на каждом коммутаторе уровня распределения. Другой вариант реализации связности на основе политик - это разделение трафика из конца в конец (Path isolation end-to-end) посредством использования VRF-Lite или MPLS VPN.<br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#7 Mon, 04 Oct 2010 14:06:42 GMT &gt;[оверквотинг удален]<br>&gt;&gt;! <br>&gt;&gt;interface Vlan116 <br>&gt;&gt;ip address 10.0.116.1 255.255.255.0 <br>&gt;&gt;! <br>&gt;&gt;interface Vlan216 <br>&gt;&gt;ip address 10.0.216.1 255.255.255.0[/code] <br>&gt;&gt;Акцесные порты есть для всех вланов, к ним подключены рабочие станции. <br>&gt;&gt;<br>&gt;&gt;Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, <br>&gt;&gt;HTTP) был только НА один адрес, например, 10.0.216.1? <br><br>Кроме создания правильного списка ACL и повешения его на line vty 0 15<br>следует также выделить VLAN, в которой не будет рядовых пользователей,<br>т. е. не назначать в эту VLAN никакие порты доступа, к которым подключены<br>какие-либо рядовые пользователи. Тогда через<br>локальный порт доступа коммутатора в эту VLAN попасть не получится, только через консольный или удаленно по SSH или Telnet. Чтобы снизить возможность <br>доступа в VLAN управления из других VLANов (и вообще - из других IP-сетей), <br>на интерфейс этой VLAN управления также можно повесить ACL. Пример:<br>!<br>interface vlan 500<br>description Management VLAN<br>!Адреса в VLAN управле https://www.opennet.ru/openforum/vsluhforumID6/21644.html#6 Mon, 27 Sep 2010 18:48:45 GMT &gt; Насколько я помню надо в акцес листе ставить вначале запрет а потом <br>&gt; разрешение тоесть привести к такому виду <br>&gt; access-list 100 deny tcp any any eq telnet <br>&gt; access-list 100 permit tcp any host 10.0.216.1 eq telnet <br>&gt; должно так сработать, но могу и ошибаться. <br><br>Наоборот не пробовали? ;)<br>access-list 100 permit tcp any host 10.0.216.1 eq telnet<br>access-list 100 deny tcp any any eq telnet <br><br>Ну, и, вообще, полезно ограничить трафик по Соурсу....<br><br>ip acce ex vty_in<br>permin tcp xxx.xxx.xxx.xxx(Network) yyy.yyy.yyy.yyy (mask) 10.0.216.1 eq telnet<br>deny any any eq telnet log (так, на всякий случай ;) )<br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#5 Fri, 24 Sep 2010 14:45:39 GMT &gt;[оверквотинг удален]<br>&gt;Пробую: <br>&gt;<br>&gt;access-list 100 permit tcp any host 10.0.216.1 eq telnet <br>&gt;access-list 100 deny tcp any any eq telnet <br>&gt;<br>&gt;line vty 0 4 <br>&gt;access-class 100 in <br>&gt;<br>&gt;Не работает - вообще ни по каким IP не телнетится ( <br>&gt;Что не так? <br><br>Так и есть. Подобным образом можно фильтровать только адреса источников телнета к сожалению(<br><br>На рутерах эта проблема решается настройкой control-plane.<br>А на коммутаторах - только аксес листами на входящих интерфейсах.<br><br>Идиотизм конечно, что по умолчанию на любой интерфейс телнетиться можно(<br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#4 Fri, 24 Sep 2010 14:42:46 GMT &gt;Насколько я помню надо в акцес листе ставить вначале запрет а потом <br>&gt;разрешение тоесть привести к такому виду <br>&gt;<br>&gt;access-list 100 deny tcp any any eq telnet <br>&gt;access-list 100 permit tcp any host 10.0.216.1 eq telnet <br>&gt;<br>&gt;должно так сработать, но могу и ошибаться. <br><br>Именно ошибаетесь.<br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#3 Fri, 24 Sep 2010 11:29:03 GMT Насколько я помню надо в акцес листе ставить вначале запрет а потом разрешение тоесть привести к такому виду<br><br>access-list 100 deny tcp any any eq telnet<br>access-list 100 permit tcp any host 10.0.216.1 eq telnet<br><br>должно так сработать, но могу и ошибаться.<br><br><br><br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#2 Fri, 24 Sep 2010 02:27:07 GMT <br>&gt;Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в <br>&gt;Line vty с помощью строки access-class <br><br>Пробую:<br><br>access-list 100 permit tcp any host 10.0.216.1 eq telnet<br>access-list 100 deny tcp any any eq telnet<br><br>line vty 0 4<br>access-class 100 in<br><br>Не работает - вообще ни по каким IP не телнетится (<br>Что не так?<br> https://www.opennet.ru/openforum/vsluhforumID6/21644.html#1 Thu, 23 Sep 2010 05:51:29 GMT &gt;[оверквотинг удален]<br>&gt;! <br>&gt;interface Vlan116 <br>&gt;ip address 10.0.116.1 255.255.255.0 <br>&gt;! <br>&gt;interface Vlan216 <br>&gt;ip address 10.0.216.1 255.255.255.0[/code] <br>&gt;Акцесные порты есть для всех вланов, к ним подключены рабочие станции. <br>&gt;<br>&gt;Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, <br>&gt;HTTP) был только НА один адрес, например, 10.0.216.1? <br><br>Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в Line vty с помощью строки access-class<br>