1. В качестве протокола для управления маршрутизатором желательно использовать SSH. Если маршрутизатор подключен к публичной сети (интернет) использование протокола TELNET - крайне опасно.
2. При подключении маршрутизатора к публичной сети крайне не желательно открывать доступ до самого маршрутизатора из публичной сети. Если такая необходимость есть - SSH-сервер на маршрутизаторе необходимо запускать на нестандартном TCP-порту (не на 22м)
Для включения на маршрутизаторе SSH-сервера необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:
esr(config)# ip ssh server
Для запуска SSH-сервера на нестандартном порту, необходимо добавить в глобальную конфигурацию маршрутизатора следующую команду:
esr(config)# ip ssh port 65022
В данном примере, 65022 - номер TCP-порта на котором будет доступен протокол SSH.
По умолчанию на маршрутизаторе указан 22 TCP-порт, который является стандартным для протокола SSH.
3. При организации доступа до маршрутизатора из публичной сети желательно ограничить список ip-адресов, которым разрешен доступ до маршрутизатора.
Для примера, на маршрутизаторе уже создан ip-интерфейс подключенный к публичной сети и он включен в зону безопасности WAN
esr(config)# security zone WAN esr(config-zone)# exit esr(config)# interface gigabitethernet 1/0/1 esr(config-if-gi)# security-zone WAN esr(config-if-gi)# ip address 192.0.2.1/30 esr(config-if-gi)# exit esr(config)# ip route 0.0.0.0/0 192.0.2.2
Для разрешения доступа к маршрутизатору из публичной сети с узлов 198.51.100.15 и 203.0.113.74 по протоколу SSH на порт 65022 необходимо применить следующую конфигурацию:
esr(config)# object-group service SSH esr(config-object-group-service)# port-range 65022 esr(config-object-group-service)# exit esr(config)# esr(config)# object-group network REMOTE_SSH_CLIENTS esr(config-object-group-network)# ip address-range 198.51.100.15 esr(config-object-group-network)# ip address-range 203.0.113.74 esr(config-object-group-network)# exit esr(config)# security zone-pair WAN self esr(config-zone-pair)# rule 10 esr(config-zone-pair-rule)# action permit esr(config-zone-pair-rule)# match protocol tcp esr(config-zone-pair-rule)# match source-address REMOTE_SSH_CLIENTS esr(config-zone-pair-rule)# match destination-port SSH esr(config-zone-pair-rule)# enable esr(config-zone-pair-rule)# exit esr(config-zone-pair)# exit
Любые изменения конфигурации на маршрутизаторах ESR всупают в силу только после выполнения команды commit и confirm в привеллигированном режиме.
esr# commit esr# confirm