Cisco IOS 路由器配置--如何禁用除环回地址之外的所有地址的 SSH/SNMP?

Cisco IOS 路由器配置--如何禁用除环回地址之外的所有地址的 SSH/SNMP?

抱歉,这个问题问得有点幼稚;快速阅读一下思科文档也无法回答这个问题...

所以我有一个路由器(为了论证的目的,假设是运行 IOS 15.x 的 4500)

它有 3 个不同子网的接口 - 10.0.0.1/24、10.0.1.1/24 和 10.0.2.1/24 它还有一个环回地址 172.16.0.33

我如何才能使 SSH / SNMP 和其他管理流量在 172 地址上运行,但不在我仅希望用于 L3 转发的 IP 地址上运行?

理想情况下,这可以通过禁用这些接口的控制平面访问来实现,而不仅仅是使用 ACL,但无论如何,只要它有效,我实际上并不关心那么多......

谢谢!

答案1

您无法禁用接口上的守护进程。ACL 是可行的方法。过滤应该在源地址而不是目标地址上进行。

配置示例:

line vty 0 4
 access-class secure_vty in
 ipv6 access-class secure6_vty in


ip access-list standard secure_vty
 permit 172.16.10.0 0.0.0.255
 deny any

ipv6 access-list secure6_vty
 deny ipv6 any any

在此配置中,172.16.10.0/24您的管理网络是您拥有 NMS 的地方,并且 NMS 上没有 ipv6,但交换机上有一些,因此必须受到保护。

请务必禁用 sshv1默认情况下启用:

Router(config)# ip ssh version 2

答案2

控制平面监管将是最干净的实现方式

首先,创建一个匹配最终将丢弃的流量的 ACL

ip access-list extended DROP
 permit tcp any host 10.0.0.1 eq 22
 permit tcp any host 10.0.1.1 eq 22
 permit tcp any host 10.0.2.1 eq 22
 permit udp any host 10.0.0.1 eq snmp
 permit udp any host 10.0.1.1 eq snmp
 permit udp any host 10.0.2.1 eq snmp

接下来,创建与您上面创建的 ACL 匹配的类映射:

class-map SNMP_AND_SSH_TO_NON_LOOPBACK
 match access-group name DROP

接下来,创建一个策略映射,对所需流量执行 DROP 操作

policy-map CONTROL_PLANE_POLICING
 class SNMP_AND_SSH_TO_NON_LOOPBACK
  drop

最后,将控制平面监管应用到你的控制平面

control-plane
 service-policy input CONTROL_PLANE_POLICING

任何发往控制平面的流量,如果与访问列表不匹配,都将通过(这包括发往环回地址的 SNMP 和 SSH 流量)

相关内容