The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Доступ к управлению коммутатором только по одному IP. Как?"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (Cisco Catalyst коммутаторы)
Изначальное сообщение [ Отслеживать ]

"Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от Dimsv on 23-Сен-10, 09:46 
Приветствую!

Имеется коммутатор 3750. На нем несколько VLAN, скажем:

interface Vlan16
ip address 10.0.16.1 255.255.255.0
!
interface Vlan116
ip address 10.0.116.1 255.255.255.0
!
interface Vlan216
ip address 10.0.216.1 255.255.255.0

Акцесные порты есть для всех вланов, к ним подключены рабочие станции.

Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH, HTTP) был только НА один адрес, например, 10.0.216.1?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от lumenous (ok) on 23-Сен-10, 09:51 
>[оверквотинг удален]
>!
>interface Vlan116
>ip address 10.0.116.1 255.255.255.0
>!
>interface Vlan216
>ip address 10.0.216.1 255.255.255.0
>Акцесные порты есть для всех вланов, к ним подключены рабочие станции.
>
>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH,
>HTTP) был только НА один адрес, например, 10.0.216.1?

Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в Line vty с помощью строки access-class

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от Dimsv on 24-Сен-10, 06:27 

>Создаете access-list, указываете кому разрешен доступ. Потом этот акцесс лист вешаете в
>Line vty с помощью строки access-class

Пробую:

access-list 100 permit tcp any host 10.0.216.1 eq telnet
access-list 100 deny tcp any any eq telnet

line vty 0 4
access-class 100 in

Не работает - вообще ни по каким IP не телнетится (
Что не так?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от dept (ok) on 24-Сен-10, 15:29 
Насколько я помню надо в акцес листе ставить вначале запрет а потом разрешение тоесть привести к такому виду

access-list 100 deny tcp any any eq telnet
access-list 100 permit tcp any host 10.0.216.1 eq telnet

должно так сработать, но могу и ошибаться.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от Pve1 (??) on 24-Сен-10, 18:42 
>Насколько я помню надо в акцес листе ставить вначале запрет а потом
>разрешение тоесть привести к такому виду
>
>access-list 100 deny tcp any any eq telnet
>access-list 100 permit tcp any host 10.0.216.1 eq telnet
>
>должно так сработать, но могу и ошибаться.

Именно ошибаетесь.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от j_vw on 27-Сен-10, 22:48 
> Насколько я помню надо в акцес листе ставить вначале запрет а потом
> разрешение тоесть привести к такому виду
> access-list 100 deny tcp any any eq telnet
> access-list 100 permit tcp any host 10.0.216.1 eq telnet
> должно так сработать, но могу и ошибаться.

Наоборот не пробовали? ;)
access-list 100 permit tcp any host 10.0.216.1 eq telnet
access-list 100 deny tcp any any eq telnet

Ну, и, вообще, полезно ограничить трафик по Соурсу....

ip acce ex vty_in
permin tcp xxx.xxx.xxx.xxx(Network) yyy.yyy.yyy.yyy (mask) 10.0.216.1 eq telnet
deny any any eq telnet log (так, на всякий случай ;) )


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от Pve1 (??) on 24-Сен-10, 18:45 
>[оверквотинг удален]
>Пробую:
>
>access-list 100 permit tcp any host 10.0.216.1 eq telnet
>access-list 100 deny tcp any any eq telnet
>
>line vty 0 4
>access-class 100 in
>
>Не работает - вообще ни по каким IP не телнетится (
>Что не так?

Так и есть. Подобным образом можно фильтровать только адреса источников телнета к сожалению(

На рутерах эта проблема решается настройкой control-plane.
А на коммутаторах - только аксес листами на входящих интерфейсах.

Идиотизм конечно, что по умолчанию на любой интерфейс телнетиться можно(

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от Евгений email(??) on 04-Окт-10, 18:06 
>[оверквотинг удален]
>>!
>>interface Vlan116
>>ip address 10.0.116.1 255.255.255.0
>>!
>>interface Vlan216
>>ip address 10.0.216.1 255.255.255.0
>>Акцесные порты есть для всех вланов, к ним подключены рабочие станции.
>>
>>Как сделать так, чтобы доступ к коммутатору для управления (по Telnet, SSH,
>>HTTP) был только НА один адрес, например, 10.0.216.1?

Кроме создания правильного списка ACL и повешения его на line vty 0 15
следует также выделить VLAN, в которой не будет рядовых пользователей,
т. е. не назначать в эту VLAN никакие порты доступа, к которым подключены
какие-либо рядовые пользователи. Тогда через
локальный порт доступа коммутатора в эту VLAN попасть не получится, только через консольный или удаленно по SSH или Telnet. Чтобы снизить возможность
доступа в VLAN управления из других VLANов (и вообще - из других IP-сетей),
на интерфейс этой VLAN управления также можно повесить ACL. Пример:
!
interface vlan 500
description Management VLAN
!Адреса в VLAN управления могут принадлежать только коммутаторам,
!поэтому можно маску удлиннить например до /26 или /28 по числу коммутаторов:
ip address N1.N2.N3.x1 255.255.255.240
!Вешаем ACL на VLAN:
ip access-group Restriction in
!
!ACL, который вешается на VLAN управления:
ip access-group extended Restriction
10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet
20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh
30 deny tcp any host N1.N2.N3.x1 eq telnet log
40 deny tcp any host N1.N2.N3.x1 eq ssh log
!
На остальных коммутаторах выделяете ту же самую VLAN управления
и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "Доступ к управлению коммутатором только по одному IP. Как?"  +/
Сообщение от Янцзы email(ok) on 05-Окт-10, 17:00 
>[оверквотинг удален]
> !
> !ACL, который вешается на VLAN управления:
> ip access-group extended Restriction
> 10 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq telnet
> 20 permit tcp <source-network> <source-wildcard-mask> host N1.N2.N3.x1 eq ssh
> 30 deny tcp any host N1.N2.N3.x1 eq telnet log
> 40 deny tcp any host N1.N2.N3.x1 eq ssh log
> !
> На остальных коммутаторах выделяете ту же самую VLAN управления
> и вешаете такой же ACL, указывая в адресе хоста назначения N1.N2.N3.x

Вообще-то такие списки надо вешать на каждую VLAN, задавая таким образом Policy-Based Connectivity. Это стандартный и уже устаревший способ разделения трафика различных VLAN в кампусной сети. Такой способ плохо масштабируется - приходится писать ACL для каждой VLAN на каждом коммутаторе уровня распределения. Другой вариант реализации связности на основе политик - это разделение трафика из конца в конец (Path isolation end-to-end) посредством использования VRF-Lite или MPLS VPN.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру