Page History

Доступ к коммутатору можно ограничить при помощи Management ACL.

Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).

1. Создать Management ACL с указанием IP-адреса источника:

console# configure
console(config)# management access-list IP
console(config-macl)# permit ip-source 192.168.1.12
console(config-macl)# exit

2. Применить созданный Management ACL:

...

Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:

console# show management access-list
IP
----
permit ip-source 192.168.1.12
! (Note: all other access implicitly denied)

console-only
------------
deny
! (Note: all other access implicitly denied)

console#show management access-class
Management access-class is enabled, using access-list IP

Можно сделать разрешение доступа c конкретных физических интерфейсов, port channel, VLAN для отдельных сервисов:

console(config-macl)#permit
ip-source To restrict conditions for source ip address use permit ip-source command.
service Define service type condition.
ace-priority The priority of the rule.
GigabitEthernet Giga ethernet interface to configure
TengigabitEthernet 10 Giga ethernet interface to configure
Port-Channel Ethernet Channel of interfaces
vlan IEEE 802.1Q Vlans
<CR>

console(config-macl)#permit GigabitEthernet 1/0/1
service Define service type condition.
ace-priority The priority of the rule.
<CR>

console(config-macl)#permit GigabitEthernet 1/0/1 service
telnet Telnet service type
snmp SNMP service type.
http HTTP service type.
https HTTPS service type.
ssh SSH service type.

Аналогичные возможности для запрета доступа :

...

После создания Management ACL и настройки разрешающих/запрещающих правил в нем необходима активация данного списка доступа для включения ограничения управлением коммутатора. Делается это отдельной командой management access-class <name_ACL>. Для изменения правил фильтрации в ACL необходимо отключение списка доступа командой no management access-class <name_ACL>, после этого появится возможность редактирования правил в нем. 

Правила фильтрации можно настроить как по одному отдельному параметру (service, интерфейс, ip-source, VLAN), так и по совокупности этих параметров.

Перечислим список доступных к настройке в правилах фильтрации параметров и приведем пример возможной настройки Management ACL:

  1. Тип доступа к коммутатору: Telnet, SNMP, HTTP/HTTPS или SSH.  

Пример: разрешим подключение к коммутатору только по Telnet и SNMP с любых физических интерфейсов, src IP-адресов и VLAN, остальные способы подключения при этом будут запрещены:

Создаем Management ACL:

management access-list MGMT
 permit service telnet
 permit service snmp

Применим созданный список контроля доступа на коммутаторе:

 management access-class MGMT  

  2. IP-source. В правиле фильтрации можно указать IP-адрес или же сеть, с которой/которых будет разрешено/запрещено подключение к коммутатору по Telnet, SNMP, HTTP/HTTPS или SSH.

Пример: разрешим подключение к коммутатору любым типом доступа только из сети 10.10.10.0/24 с любых физических интерфейсов и VLAN, подключения из любых других сетей к коммутатору при этом будут запрещены:

Создаем Management ACL:

management access-list MGMT
permit ip-source 10.10.10.0 mask /24 

Применим созданный список контроля доступа на коммутаторе:

 management access-class MGMT  

  3. VLAN. Можем разрешить подключение к коммутатору только устройствам из определенного VLAN, к примеру, VLAN управления. 

Пример: разрешим подключение к коммутатору устройствам из VLAN 4000 с любых физических интерфейсов, src IP-адресов и с любым типом доступа, подключение устройств из других VLAN при этом будет запрещено:

Создаем Management ACL:

management access-list MGMT
permit Vlan4000

Включаем созданный список контроля доступа на коммутаторе:

 management access-class MGMT  

4. Интерфейс. В правилах фильтрации можно указать порт, через который будут приходить запросы на подключение к коммутатору. Доступны варианты указания: OOB-порт, физические интерфейсы (например, Gi/Te/Fo, зависит от имеющихся портов на конкретной модели коммутатора), Port-channel. 

Пример: разрешим подключение к коммутатору устройствам, находящимся за Port-channel 10, с любыми src IP-адресам, любым типом доступа и из любых VLAN. Подключение устройств, запросы на подключение к коммутатору от которых будут поступать на другие интерфейсы коммутатора, при этом будет запрещено:

Создаем Management ACL:

management access-list MGMT
permit Port-Channel10

Применим созданный список контроля доступа на коммутаторе:

 management access-class MGMT  

Теперь приведем пример создания списка контроля доступа с совокупностью всех данных параметров. Пример: хотим разрешить подключение к коммутатору 1) по SNMP из сети 11.11.11.0/24 с интерфейса Po1, 2) по SSH и Telnet из сети 10.11.12.0/24 с интерфейса Po1, 3) подключение любым способом из VLAN 15. Остальные способы подключения будут блокироваться. 

Создаем Management ACL:

management access-list MGMT
 permit ip-source 11.11.11.0 mask 255.255.255.0 service snmp Port-Channel1
 permit ip-source 10.11.12.0 mask 255.255.255.0 service ssh Port-Channel1
 permit ip-source 10.11.12.0 mask 255.255.255.0 service telnet Port-Channel1
 permit Vlan15

Применим созданный список контроля доступа на коммутаторе:

 management access-class MGMT  

Для просмотра информации по созданным и примененным листам необходимо воспользоваться следующими show-командами:

show management access-list 

MGMT
----
[1] permit ip-source 11.11.11.0 mask 255.255.255.0 port-channel 1 service snmp
[11] permit ip-source 10.11.12.0 mask 255.255.255.0 port-channel 1 service ssh
[21] permit ip-source 10.11.12.0 mask 255.255.255.0 port-channel 1 service telnet
[31] permit vlan 15
! (Note: all other access implicitly denied)

console-only
------------
[1] deny
! (Note: all other access implicitly denied)