Доступ к коммутатору можно ограничить при помощи Management ACL. После создания Management ACL и настройки разрешающих/запрещающих правил в нем необходима активация данного списка доступа для включения ограничения управлением коммутатора. Делается это отдельной командой management access-class <name_ACL>. Для изменения правил фильтрации в ACL необходимо отключение списка доступа командой no management access-class <name_ACL>, после этого появится возможность редактирования правил в нем.
Правила фильтрации можно настроить как по одному отдельному параметру (service, интерфейс, ip-source, VLAN), так и по совокупности этих параметров. По умолчанию в конце Management ACL применяется негласное правило all other access implicitly denied, соответственно, если способ подключения к коммутатору не подойдет под правила, описанные в Management ACL, такой трафик будет отброшен и подключение к коммутатору будет неуспешным.
Перечислим список доступных к настройке в правилах фильтрации параметров и приведем пример возможной настройки Management ACL:
1. Тип доступа к коммутатору: Telnet, SNMP, HTTP/HTTPS или SSH.
Пример: разрешим подключение к коммутатору только по Telnet и SNMP с любых физических интерфейсов, src IP-адресов и VLAN, остальные способы подключения при этом будут запрещены:
Создаем Management ACL:
management access-list MGMT permit service telnet permit service snmp
Применим созданный список контроля доступа на коммутаторе:
management access-class MGMT
2. IP-source. В правиле фильтрации можно указать IP-адрес или же сеть, с которой/которых будет разрешено/запрещено подключение к коммутатору по Telnet, SNMP, HTTP/HTTPS или SSH.
Пример: разрешим подключение к коммутатору любым типом доступа только из сети 10.10.10.0/24 с любых физических интерфейсов и VLAN, подключения из любых других сетей к коммутатору при этом будут запрещены:
Создаем Management ACL:
management access-list MGMT permit ip-source 10.10.10.0 mask /24
Применим созданный список контроля доступа на коммутаторе:
management access-class MGMT
3. VLAN. Можем разрешить подключение к коммутатору только устройствам из определенного VLAN, к примеру, VLAN управления.
Пример: разрешим подключение к коммутатору устройствам из VLAN 4000 с любых физических интерфейсов, src IP-адресов и с любым типом доступа, подключение устройств из других VLAN при этом будет запрещено:
Создаем Management ACL:
management access-list MGMT permit Vlan4000
Включаем созданный список контроля доступа на коммутаторе:
management access-class MGMT
4. Интерфейс. В правилах фильтрации можно указать порт, через который будут приходить запросы на подключение к коммутатору. Доступны варианты указания: OOB-порт, физические интерфейсы (например, Gi/Te/Twe/Hu, зависит от имеющихся портов на конкретной модели коммутатора), Port-channel.
Пример: разрешим подключение к коммутатору устройствам, находящимся за Port-channel 10, с любыми src IP-адресам, любым типом доступа и из любых VLAN. Подключение устройств, запросы на подключение к коммутатору от которых будут поступать на другие интерфейсы коммутатора, при этом будет запрещено:
Создаем Management ACL:
management access-list MGMT permit Port-Channel10
Применим созданный список контроля доступа на коммутаторе:
management access-class MGMT
Создадим список контроля доступа с совокупностью данных параметров. Пример: хотим разрешить подключение к коммутатору 1) по SNMP из сети 11.11.11.0/24 с интерфейса Po1, 2) по SSH и Telnet из сети 10.11.12.0/24 с интерфейса Po1, 3) подключение любым способом из VLAN 15. Остальные способы подключения будут блокироваться.
Создаем Management ACL:
management access-list MGMT permit ip-source 11.11.11.0 mask 255.255.255.0 service snmp Port-Channel1 permit ip-source 10.11.12.0 mask 255.255.255.0 service ssh Port-Channel1 permit ip-source 10.11.12.0 mask 255.255.255.0 service telnet Port-Channel1 permit Vlan15
Применим созданный список контроля доступа на коммутаторе:
management access-class MGMT
Для просмотра информации по созданным и примененным листам необходимо воспользоваться следующими show-командами:
show management access-list MGMT ---- permit ip-source 11.11.11.0 mask 255.255.255.0 service snmp permit ip-source 10.11.12.0 mask 255.255.255.0 service ssh permit ip-source 10.11.12.0 mask 255.255.255.0 service telnet permit vlan 15 ! (Note: all other access implicitly denied) console-only ------------ deny ! (Note: all other access implicitly denied) show management access-class Management access-class is enabled, using access-list MGMT