forum.opennet.ru - "Доступ к управлению коммутатором только по одному IP. Как?" (8)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Доступ к управлению коммутатором только по одному IP. Как?"

Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Доступ к управлению коммутатором только по одному IP. Как?"	+/–
Сообщение от Dimsv on 23-Сен-10, 09:46
Приветствую! Имеется коммутатор 3750. На нем несколько VLAN, скажем: interface Vlan16 ip address 10.0.16.1 255.255.255.0 ! interface Vlan116 ip address 10.0.116.1 255.255.255.0 ! interface Vlan216 ip address 10.0.216.1 255.255.255.0 Акцесные порты есть для всех вланов, к ним подключены рабочие станции. Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, HTTP) был только НА один адрес, например, 10.0.216.1?
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Доступ к управлению коммутатором только по одному IP. Как?, lumenous, 09:51 , 23-Сен-10, (1)

Доступ к управлению коммутатором только по одному IP. Как?, Dimsv, 06:27 , 24-Сен-10, (2)

Доступ к управлению коммутатором только по одному IP. Как?, dept, 15:29 , 24-Сен-10, (3)

Доступ к управлению коммутатором только по одному IP. Как?, Pve1, 18:42 , 24-Сен-10, (4)
Доступ к управлению коммутатором только по одному IP. Как?, j_vw, 22:48 , 27-Сен-10, (6)

Доступ к управлению коммутатором только по одному IP. Как?, Pve1, 18:45 , 24-Сен-10, (5)

Доступ к управлению коммутатором только по одному IP. Как?, Евгений, 18:06 , 04-Окт-10, (7)

Доступ к управлению коммутатором только по одному IP. Как?, Янцзы, 17:00 , 05-Окт-10, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от lumenous (ok) on 23-Сен-10, 09:51

>[оверквотинг удален]
>!
>interface Vlan116
>ip address 10.0.116.1 255.255.255.0
>!
>interface Vlan216
>ip address 10.0.216.1 255.255.255.0
>Акцесные порты есть для всех вланов, к ним подключены рабочие станции.
>
>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH,
>HTTP) был только НА один адрес, например, 10.0.216.1?
Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в Line vty с помощью строки access-class

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от Dimsv on 24-Сен-10, 06:27

>Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в
>Line vty с помощью строки access-class
Пробую:
access-list 100 permit tcp any host 10.0.216.1 eq telnet
access-list 100 deny tcp any any eq telnet
line vty 0 4
access-class 100 in
Не работает - вообще ни по каким IP не телнетится (
Что не так?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от dept (ok) on 24-Сен-10, 15:29

Насколько я помню надо в акцес листе ставить вначале запрет а потом разрешение тоесть привести к такому виду
access-list 100 deny tcp any any eq telnet
access-list 100 permit tcp any host 10.0.216.1 eq telnet
должно так сработать, но могу и ошибаться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от Pve1 (??) on 24-Сен-10, 18:42

>Насколько я помню надо в акцес листе ставить вначале запрет а потом
>разрешение тоесть привести к такому виду
>
>access-list 100 deny tcp any any eq telnet
>access-list 100 permit tcp any host 10.0.216.1 eq telnet
>
>должно так сработать, но могу и ошибаться.
Именно ошибаетесь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от j_vw on 27-Сен-10, 22:48

> Насколько я помню надо в акцес листе ставить вначале запрет а потом
> разрешение тоесть привести к такому виду
> access-list 100 deny tcp any any eq telnet
> access-list 100 permit tcp any host 10.0.216.1 eq telnet
> должно так сработать, но могу и ошибаться.
Наоборот не пробовали? ;)
access-list 100 permit tcp any host 10.0.216.1 eq telnet
access-list 100 deny tcp any any eq telnet
Ну, и, вообще, полезно ограничить трафик по Соурсу....
ip acce ex vty_in
permin tcp xxx.xxx.xxx.xxx(Network) yyy.yyy.yyy.yyy (mask) 10.0.216.1 eq telnet
deny any any eq telnet log (так, на всякий случай ;) )

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от Pve1 (??) on 24-Сен-10, 18:45

>[оверквотинг удален]
>Пробую:
>
>access-list 100 permit tcp any host 10.0.216.1 eq telnet
>access-list 100 deny tcp any any eq telnet
>
>line vty 0 4
>access-class 100 in
>
>Не работает - вообще ни по каким IP не телнетится (
>Что не так?
Так и есть. Подобным образом можно фильтровать только адреса источников телнета к сожалению(
На рутерах эта проблема решается настройкой control-plane.
А на коммутаторах - только аксес листами на входящих интерфейсах.
Идиотизм конечно, что по умолчанию на любой интерфейс телнетиться можно(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от Евгений (??) on 04-Окт-10, 18:06

>[оверквотинг удален]
>>!
>>interface Vlan116
>>ip address 10.0.116.1 255.255.255.0
>>!
>>interface Vlan216
>>ip address 10.0.216.1 255.255.255.0
>>Акцесные порты есть для всех вланов, к ним подключены рабочие станции.
>>
>>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH,
>>HTTP) был только НА один адрес, например, 10.0.216.1?
Кроме создания правильного списка ACL и повешения его на line vty 0 15
следует также выделить VLAN, в которой не будет рядовых пользователей,
т. е. не назначать в эту VLAN никакие порты доступа, к которым подключены
какие-либо рядовые пользователи. Тогда через
локальный порт доступа коммутатора в эту VLAN попасть не получится, только через консольный или удаленно по SSH или Telnet. Чтобы снизить возможность
доступа в VLAN управления из других VLANов (и вообще - из других IP-сетей),
на интерфейс этой VLAN управления также можно повесить ACL. Пример:
!
interface vlan 500
description Management VLAN
!Адреса в VLAN управления могут принадлежать только коммутаторам,
!поэтому можно маску удлиннить например до /26 или /28 по числу коммутаторов:
ip address N1.N2.N3.x1 255.255.255.240
!Вешаем ACL на VLAN:
ip access-group Restriction in
!
!ACL, который вешается на VLAN управления:
ip access-group extended Restriction
10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet
20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh
30 deny tcp any host N1.N2.N3.x1 eq telnet log
40 deny tcp any host N1.N2.N3.x1 eq ssh log
!
На остальных коммутаторах выделяете ту же самую VLAN управления
и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Доступ к управлению коммутатором только по одному IP. Как?" +/–

Сообщение от Янцзы (ok) on 05-Окт-10, 17:00

>[оверквотинг удален]
> !
> !ACL, который вешается на VLAN управления:
> ip access-group extended Restriction
> 10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet
> 20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh
> 30 deny tcp any host N1.N2.N3.x1 eq telnet log
> 40 deny tcp any host N1.N2.N3.x1 eq ssh log
> !
> На остальных коммутаторах выделяете ту же самую VLAN управления
> и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x
Вообще-то такие списки надо вешать на каждую VLAN, задавая таким образом Policy-Based Connectivity. Это стандартный и уже устаревший способ разделения трафика различных VLAN в кампусной сети. Такой способ плохо масштабируется - приходится писать ACL для каждой VLAN на каждом коммутаторе уровня распределения. Другой вариант реализации связности на основе политик - это разделение трафика из конца в конец (Path isolation end-to-end) посредством использования VRF-Lite или MPLS VPN.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
Сообщение от lumenous (ok) on 23-Сен-10, 09:51
>[оверквотинг удален] >! >interface Vlan116 >ip address 10.0.116.1 255.255.255.0 >! >interface Vlan216 >ip address 10.0.216.1 255.255.255.0 >Акцесные порты есть для всех вланов, к ним подключены рабочие станции. > >Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, >HTTP) был только НА один адрес, например, 10.0.216.1? Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в Line vty с помощью строки access-class
Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	2. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от Dimsv on 24-Сен-10, 06:27
	>Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в >Line vty с помощью строки access-class Пробую: access-list 100 permit tcp any host 10.0.216.1 eq telnet access-list 100 deny tcp any any eq telnet line vty 0 4 access-class 100 in Не работает - вообще ни по каким IP не телнетится ( Что не так?
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	3. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от dept (ok) on 24-Сен-10, 15:29
	Насколько я помню надо в акцес листе ставить вначале запрет а потом разрешение тоесть привести к такому виду access-list 100 deny tcp any any eq telnet access-list 100 permit tcp any host 10.0.216.1 eq telnet должно так сработать, но могу и ошибаться.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	4. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от Pve1 (??) on 24-Сен-10, 18:42
	>Насколько я помню надо в акцес листе ставить вначале запрет а потом >разрешение тоесть привести к такому виду > >access-list 100 deny tcp any any eq telnet >access-list 100 permit tcp any host 10.0.216.1 eq telnet > >должно так сработать, но могу и ошибаться. Именно ошибаетесь.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	6. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от j_vw on 27-Сен-10, 22:48
	> Насколько я помню надо в акцес листе ставить вначале запрет а потом > разрешение тоесть привести к такому виду > access-list 100 deny tcp any any eq telnet > access-list 100 permit tcp any host 10.0.216.1 eq telnet > должно так сработать, но могу и ошибаться. Наоборот не пробовали? ;) access-list 100 permit tcp any host 10.0.216.1 eq telnet access-list 100 deny tcp any any eq telnet Ну, и, вообще, полезно ограничить трафик по Соурсу.... ip acce ex vty_in permin tcp xxx.xxx.xxx.xxx(Network) yyy.yyy.yyy.yyy (mask) 10.0.216.1 eq telnet deny any any eq telnet log (так, на всякий случай ;) )
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	5. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от Pve1 (??) on 24-Сен-10, 18:45
	>[оверквотинг удален] >Пробую: > >access-list 100 permit tcp any host 10.0.216.1 eq telnet >access-list 100 deny tcp any any eq telnet > >line vty 0 4 >access-class 100 in > >Не работает - вообще ни по каким IP не телнетится ( >Что не так? Так и есть. Подобным образом можно фильтровать только адреса источников телнета к сожалению( На рутерах эта проблема решается настройкой control-plane. А на коммутаторах - только аксес листами на входящих интерфейсах. Идиотизм конечно, что по умолчанию на любой интерфейс телнетиться можно(
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	7. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от Евгений (??) on 04-Окт-10, 18:06
	>[оверквотинг удален] >>! >>interface Vlan116 >>ip address 10.0.116.1 255.255.255.0 >>! >>interface Vlan216 >>ip address 10.0.216.1 255.255.255.0 >>Акцесные порты есть для всех вланов, к ним подключены рабочие станции. >> >>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, >>HTTP) был только НА один адрес, например, 10.0.216.1? Кроме создания правильного списка ACL и повешения его на line vty 0 15 следует также выделить VLAN, в которой не будет рядовых пользователей, т. е. не назначать в эту VLAN никакие порты доступа, к которым подключены какие-либо рядовые пользователи. Тогда через локальный порт доступа коммутатора в эту VLAN попасть не получится, только через консольный или удаленно по SSH или Telnet. Чтобы снизить возможность доступа в VLAN управления из других VLANов (и вообще - из других IP-сетей), на интерфейс этой VLAN управления также можно повесить ACL. Пример: ! interface vlan 500 description Management VLAN !Адреса в VLAN управления могут принадлежать только коммутаторам, !поэтому можно маску удлиннить например до /26 или /28 по числу коммутаторов: ip address N1.N2.N3.x1 255.255.255.240 !Вешаем ACL на VLAN: ip access-group Restriction in ! !ACL, который вешается на VLAN управления: ip access-group extended Restriction 10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet 20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh 30 deny tcp any host N1.N2.N3.x1 eq telnet log 40 deny tcp any host N1.N2.N3.x1 eq ssh log ! На остальных коммутаторах выделяете ту же самую VLAN управления и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору


	8. "Доступ к управлению коммутатором только по одному IP. Как?"	+/–
	Сообщение от Янцзы (ok) on 05-Окт-10, 17:00
	>[оверквотинг удален] > ! > !ACL, который вешается на VLAN управления: > ip access-group extended Restriction > 10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet > 20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh > 30 deny tcp any host N1.N2.N3.x1 eq telnet log > 40 deny tcp any host N1.N2.N3.x1 eq ssh log > ! > На остальных коммутаторах выделяете ту же самую VLAN управления > и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x Вообще-то такие списки надо вешать на каждую VLAN, задавая таким образом Policy-Based Connectivity. Это стандартный и уже устаревший способ разделения трафика различных VLAN в кампусной сети. Такой способ плохо масштабируется - приходится писать ACL для каждой VLAN на каждом коммутаторе уровня распределения. Другой вариант реализации связности на основе политик - это разделение трафика из конца в конец (Path isolation end-to-end) посредством использования VRF-Lite или MPLS VPN.
	Высказать мнение \| Ответить \| Правка \| ^ \| Наверх \| Cообщить модератору