Ограничаването на достъпа рутер чрез Telnet или SSH чрез ACL, ciscotips

Нека да видим как да се ограничи достъпа до рутера. За да започнете, аз препоръчвам да прочетете статията на ACL. ако не сте го направили.

Как да не правим

Така че, има маршрутизатор, ние, като администратори искат да бъдат в състояние да се свърже дистанционно да го чрез SSH или Telnet, но не искат да го дистанционно и са били свързани нападатели груба сила пароли ни. Той е достатъчно голямо предизвикателство, ако се опитате да го решим с помощта на удължения ACL в рутер интерфейси.

Нека да рутер с тези интерфейси:

Zafiltrovat за достъп до Telnet, на Fa0 / 0 ние ще трябва да се прилага по отношение на този пост ACL:

На Fa0 / 1 и Fa0 / 2 ще трябва да се прилагат едни и същи ACL. От рутера може да се свърже с някой от неговия интерфейс. Например, може да бъде в мрежа, свързана чрез Fa0 / 0 и се отнасят до рутера чрез интерфейс Fa0 / 1. Нашата трафик идва през Fa0 / 0 се пренасочва към Fa0 / 1 и това вече се случва чрез връзката телнет. Ето защо ние сме включили всички интерфейси на. Сега си представете, че всеки един от интерфейсите вече има своя ACL с неговите правила за филтриране. В този случай, ние не се получи да се използва обща ACL 101 за всички интерфейси, ще бъде необходимо във всяка ACL добавите три линии. Представете си, че има нов интерфейс Fa0 / 3 (192.168.3.1) - сега ще трябва да се справите с всичко, създаден преди това ACL и добавете ред там

Как да направя

ACL 1 - прост ACL, състояща се от две линии. Той се прилага за vty на линията, а сега това няма значение, където трафикът е дошъл, от които интерфейс с мрежа. Когато става дума за един VTY, ще бъдат проверени за съответствие с ACL и приета или отхвърлена.

Имайте предвид, че ACL се прилага върху командата интерфейс достъп на група. и на vty - достъп класа команда.

Тя се отнася до темата: