我在装有 IOS 的 Cisco Catalyst 交换机上配置了几个 VLAN,我将把客户端连接的所有端口都放入这些 VLAN 中。我想将本机 VLAN [vlan 1] 配置为管理 VLAN,这样我就可以使用 telnet 客户端连接到交换机。
我如何才能阻止除一个特定 IP 地址之外的所有 IP 地址通过 telnet 进入交换机?据我了解,vlan 1 有许多与不同协议相关的任务,我不想破坏这一点,但只允许一个特定 IP 地址使用 telnet 客户端连接到交换机 [实际上是交换机的网关 IP 地址]。
答案1
您可以将 ACL 仅应用于管理访问。例如:
! replace x.x.x.x with the IP to permit
access-list 1 permit host x.x.x.x
! some switches range from 0 to 15 instead of 0 to 4, adjust as necessary
line vty 0 4
access-class 1 in
这将标准访问列表 1 仅应用于虚拟终端上的入站访问(包括 telnet 和 ssh 访问),而不考虑 VLAN。access-list如果需要,您可以使用更复杂的访问列表。Chopper3 提供了一个很好的链接。
答案2
我建议你使用 ACL - 它们的设置可能相当复杂,但是这里是思科关于如何操作的指南。