Доступ к коммутатору можно ограничить при помощи Management ACL.
Ниже приведен пример ограничения доступа по IP-адресу источника (IP 192.168.1.12).
1. Создать Management ACL с указанием IP-адреса источника:
console# configureconsole(config)# management access-list IPconsole(config-macl)# permit ip-source 192.168.1.12console(config-macl)# exit
2. Применить созданный Management ACL:
console(config)# management access-class IP
Для просмотра информации по созданным и примененным листам необходимо воспользоваться командами show:
console# show management access-listIP----permit ip-source 192.168.1.12! (Note: all other access implicitly denied)
console-only------------deny! (Note: all other access implicitly denied)
console#show management access-classManagement access-class is enabled, using access-list IP
Можно сделать разрешение доступа c конкретных физических интерфейсов, port channel, VLAN для отдельных сервисов:
console(config-macl)#permitip-source To restrict conditions for source ip address use permit ip-source command.service Define service type condition.ace-priority The priority of the rule.GigabitEthernet Giga ethernet interface to configureTengigabitEthernet 10 Giga ethernet interface to configurePort-Channel Ethernet Channel of interfacesvlan IEEE 802.1Q Vlans<CR>
console(config-macl)#permit GigabitEthernet 1/0/1 service Define service type condition.ace-priority The priority of the rule.<CR>
console(config-macl)#permit GigabitEthernet 1/0/1 servicetelnet Telnet service typesnmp SNMP service type.http HTTP service type.https HTTPS service type.ssh SSH service type.
Аналогичные возможности для запрета доступа :
console(config-macl)#deny ip-source To restrict conditions for source ip address use deny ip-source command.service Define service type condition.ace-priority The priority of the rule.GigabitEthernet Giga ethernet interface to configureTengigabitEthernet 10 Giga ethernet interface to configurePort-Channel Ethernet Channel of interfacesvlan IEEE 802.1Q Vlans