我有一台 Cisco 3750 交换机,我想修改允许/拒绝在 ssh 和“启用”模式下访问它的 IP 地址。不知道该怎么做,而且似乎几乎不可能通过 Google 搜索获得此信息。
答案1
据我所知,您无法enable根据 IP 地址设置模式的权限。
至少你可以使用 ACL 来控制哪些 IP 被允许通过 SSH/Telnet 连接到你的交换机,但是一旦它们以用户模式连接,它们就已经连接了,因此它们可以调用enable特权模式(当然他们应该知道密码才能继续操作...)。
要使用 ACL 根据 IP 地址控制SSH访问,方法如下:
ip access-list extended Manage-SSH
permit tcp host 192.168.1.10 host 0.0.0.0 eq 22
permit tcp host 192.168.1.11 host 0.0.0.0 eq 22
deny ip any any log
line vty 0 4
access-class Manage-SSH
transport input ssh
编辑 :
我如何将 IP 添加到允许列表并拒绝所有其他 IP,或者从已存在的允许列表中删除 IP?
对于所有这些,您必须输入config mode然后编辑 ACL:
R1#conf terminal
R1(config)#ip access-list extended Manage-SSH
然后,从这里:
允许新 IP (
192.168.1.12):R1(config-ext-nacl)#permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1(config-ext-nacl)#end要删除 ip (
192.168.1.12),只需在命令前加上前缀no:R1(config-ext-nacl)#no permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1(config-ext-nacl)#end否认所有其他:如果我最初的答案已经回答了。
您需要使用以下命令结束 ACL:
deny ip any any log这意味着先前的
permit...命令未明确允许的内容将被拒绝。
编辑2:
关于我们收到的评论,这里有一个测试用例。
我们准备去 :
- 在访问列表 Manage-SSH 中创建新的允许访问
- 从访问列表中删除此权限 Manage-SSH
创造 :
R1#conf terminal
R1(config)#ip access-list extended Manage-SSH
R1(config-ext-nacl)#permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1(config-ext-nacl)#end
R1#show access-lists
Extended IP access list Manage-SSH
permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1#
删除 :
R1#conf terminal
R1(config)#ip access-list extended Manage-SSH
R1(config-ext-nacl)#no permit tcp host 192.168.1.12 host 0.0.0.0 eq 22
R1(config-ext-nacl)#end
R1#show access-lists
Extended IP access list Manage-SSH
R1#
访问列表现在为空。
现在对 ACL 115 执行相同操作(在所有命令中替换Manage-SSH为),但是115警告 !!看来你真的不知道自己在做什么,所以去吧小心如果我们谈论的是实时切换。