Для ограничения доступа к Management Plane коммутаторов SNR (Telnet/SSH/WEB) рекомендуется использовать функционал authentication ip access-class. Рассмотрим порядок конфигурации.
К примеру, необходимо разрешить доступ Telnet к коммутатору только для сети 10.168.1.0/24. Создаем ACL, в котором указываем разрешенную сеть:
| Code Block |
|---|
|
access-list 1 permit 10.168.1.0 0.0.0.255 |
| Info |
|---|
|
Возможно использовать IP standard ACL и IP extended ACL (включая discontinuous ip address mask). |
Далее применяем созданный ACL к функционалу authentication ip access-class, не забыв указать протокол Telnet:
| Code Block |
|---|
|
authentication ip access-class 1 in telnet |
| Info |
|---|
|
| В случае, если не указать протокол (Telnet/SSH/WEB) будет ограничен доступ ко всему Control Plane коммутатора, включая служебный трафик протоколов маршрутизации! |
Также, можно использовать именованные списки ACL с правилами 'deny'. Например, необходимо оставить доступ только для адреса 192.168.201.1:
| Code Block |
|---|
|
ip access-list extended MGMT
permit ip host-source any host-destination 192.168.201.1
deny ip any-source any-destination |
Теперь, если попытаться подключиться по Telnet к коммутатору с нелегитимного IP-адреса попытка соединения будет отклонена, а в логах появится запись:
| Code Block |
|---|
|
1013 %Sep 13 09:30:02 2018 <warnings> MODULE_UTILS_TELNET[tTelnetd]:Telnet: Connection from 83.209.248.201 is rejected by security IP. |
На большинстве L3-коммутаторов SNR данные сообщения можно отключать:
| Code Block |
|---|
|
authentication (telnet|ssh|web) logging disable|enable |
