存档

2021年12月 的存档

cisco交换机指定ip登陆ssh及telnet及限控acl使用

2021年12月4日 没有评论

在公网交换机使用中。一般不想被人随便ssh测试登陆或是嗅探,就要用到acl限控功能,这也是为了核心网络设备的安全稳定。像cisco等交换机都使用acl进行管理控制。我们可以简单使用基本的acl策略进行ip限制登陆访问一些端口。这样可以做为很好的管理和控制安全等级。

1、acl限制指定ip地址访问22端口连接ssh
//123的ip为交换机ip,8.8.8.8 为指定的特定ip地址
access-list 101 permit tcp host 192.168.0.8 host 192.168.0.253 eq 22
access-list 101 permit tcp host 8.8.8.8 host 123.123.123.123 eq 22
access-list 101 permit tcp host 1.1.1.1 host 123.123.123.123 eq 22
access-list 101 permit tcp host 8.8.4.4 host 123.123.123.123 eq 22
access-list 101 deny tcp any any eq 22
access-list 101 permit ip any any
interface Gi0/1
ip access-group 101 in

acl限制指定ip地址访问23端口连接telnet
//123的ip为交换机ip,8.8.8.8 为指定的特定ip地址
access-list 101 permit tcp host 192.168.0.8 host 192.168.0.253 eq 23
access-list 101 permit tcp host 8.8.8.8 host 123.123.123.123 eq 23
access-list 101 permit tcp host 1.1.1.1 host 123.123.123.123 eq 23
access-list 101 permit tcp host 8.8.4.4 host 123.123.123.123 eq 23
access-list 101 deny tcp any any eq 23
access-list 101 permit ip any any
interface Gi0/1
ip access-group 101 in

ps:有些像2960x的交换机。无法直接使用ip access-group 101 in,只能使用vlan。ip access-group vlan in,不同交换机表达方式不太一样。到时具体命令?号一下参考。

2、交换机acl基本管理方法
删除access-list整个条目如106
Switch(config)#no access-list 106

进入access-list
ip access-list standard/extended ‘number’
根据list的类型选择standard/extended,这里我用的是106所以选extended
ip access-list extended 106
Switch(config-ext-nacl)#

验证
do show access-list

删除序号为40的条目
no 40

//这样40就更换上以下这条了
40 permit tcp host 192.168.0.8 host 192.168.0.253 eq 23
41 permit tcp host 192.168.0.0/24 host 192.168.0.253 eq 23

如果要在中间添加条目
Router(config)#ip access-list standard 20
Router(config-std-nacl)#50 permit 172.18.0.111
Router(config-std-nacl)#60 permit 172.18.0.222
Router(config-std-nacl)#55 permit 172.18.0.150