Просмотреть исходный

1. В качестве протокола для управления маршрутизатором желательно использовать SSH. Если маршрутизатор подключен к публичной сети (интернет) использование протокола TELNET - крайне опасно.

2. При подключении маршрутизатора к публичной сети крайне не желательно открывать доступ до самого маршрутизатора из публичной сети. Если такая необходимость есть - SSH-сервер на маршрутизаторе необходимо запускать на нестандартном TCP-порту (не на 22м)
Для включения на маршрутизаторе SSH-сервера необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:

esr(config)# ip ssh server

Для запуска SSH-сервера на нестандартном порту, необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:

esr(config)# ip ssh port 65022

В данном примере, 65022 - номер TCP-порта на котором будет доступен протокол SSH.

По умолчанию на маршрутизаторе указан 22 TCP-порт, который является стандартным для протокола SSH.

3. При организации доступа до маршрутизатора из публичной сети желательно ограничить список ip-адресов, которым разрешен доступ до маршрутизатора.
Для примера, на маршрутизаторе уже создан ip-интерфейс подключенный к публичной сети и он включен в зону безопасности WAN

esr(config)# security zone WAN
esr(config-zone)# exit
esr(config)# interface gigabitethernet 1/0/1
esr(config-if-gi)#   security-zone WAN
esr(config-if-gi)#   ip address 192.0.2.1/30
esr(config-if-gi)# exit
esr(config)# ip route 0.0.0.0/0 192.0.2.2

Для разрешения доступа к маршрутизатору из публичной сети с узлов 198.51.100.15 и 203.0.113.74 по протоколу SSH на порт 65022 необходимо применить следующую конфигурацию:

esr(config)# object-group service SSH
esr(config-object-group-service)#   port-range 65022
esr(config-object-group-service)# exit
esr(config)#
esr(config)# object-group network REMOTE_SSH_CLIENTS
esr(config-object-group-network)#   ip address-range 198.51.100.15
esr(config-object-group-network)#   ip address-range 203.0.113.74
esr(config-object-group-network)# exit
esr(config)# security zone-pair WAN self
esr(config-zone-pair)#   rule 10
esr(config-zone-pair-rule)#     action permit
esr(config-zone-pair-rule)#     match protocol tcp
esr(config-zone-pair-rule)#     match source-address REMOTE_SSH_CLIENTS
esr(config-zone-pair-rule)#     match destination-port SSH
esr(config-zone-pair-rule)#     enable
esr(config-zone-pair-rule)#   exit
esr(config-zone-pair)# exit

Любые изменения конфигурации на маршрутизаторах ESR всупают в силу только после выполнения команды commit и confirm в привеллигированном режиме.

esr# commit
esr# confirm