Для ограничения доступа к Management Plane коммутаторов SNR (Telnet/SSH/WEB) рекомендуется использовать функционал authentication ip access-class. Рассмотрим порядок конфигурации.
К примеру, необходимо разрешить доступ Telnet к коммутатору только для сети 10.168.1.0/24. Создаем ACL, в котором указываем разрешенную сеть:
access-list 1 permit 10.168.1.0 0.0.0.255
Важно!
Возможно использовать IP standard ACL и IP extended ACL (включая discontinuous ip address mask).
Далее применяем созданный ACL к функционалу authentication ip access-class, не забыв указать протокол Telnet:
authentication ip access-class 1 in telnet
Важно!
Также, можно использовать именованные списки ACL с правилами 'deny'. Например, необходимо оставить доступ только для адреса 192.168.201.1:
ip access-list extended MGMT permit ip host-source any host-destination 192.168.201.1 deny ip any-source any-destination
Теперь, если попытаться подключиться по Telnet к коммутатору с нелегитимного IP-адреса попытка соединения будет отклонена, а в логах появится запись:
1013 %Sep 13 09:30:02 2018 <warnings> MODULE_UTILS_TELNET[tTelnetd]:Telnet: Connection from 83.209.248.201 is rejected by security IP.
На большинстве L3-коммутаторов SNR данные сообщения можно отключать:
authentication (telnet|ssh|web) logging disable|enable