iT邦幫忙

0

Cisco設備 Core Switch & Core Router限制特定IP遠端登入

SICA 2017-02-24 14:25:448176 瀏覽

由於是網管新鮮人
還不太熟練....來請教各位大神幫幫忙

有幾台核心Cisco設備 core switch / router
被要求需設定ACL只能讓特定某幾個ip登入(ssh遠端等..,
同時也要搭配ACS只能限定讓有權限的人連進去,
有點複雜,小的有點頭疼.....

有大大能夠教學的仔細點...該怎麼操作呢 ><

(如果我發問問得不太好,跟我說一下 ^^")


謝謝各位的解答!!!
後來我使用了以下方法 但又遇到問題了 GG
Ex: 允許10.10.10.1 及 10.10.10.2 透過vty方式登入

( config )#access-list 10 permit host 10.10.10.1 (還有一個10.10.10.2)
( config )#line vty 0 4
( config – line )#access-class 10 in

設好時show run會出現以下這些訊息 顯示已設定成功
access-list 10 permit 10.10.10.1
access-list 10 permit 10.10.10.2

live vty 0 4
access-class 10 in
操作上也都是OK的~
但後來我試看看拿掉其中一個IP
恩就很簡單的
( config )#no access-list 10 permit host 10.10.10.1
但是重點問題來了!!!!!!!!!!!
我只NO掉其中一個IP 怎麼會全部的IP一起被NO掉了呢????

danking iT邦研究生 2 級 ‧ 2017-03-01 14:49:24 檢舉
允許 192.168.0.10 透過 22 port 登入
access-list 101 permit tcp host 192.168.0.10 host RouterIP eq 22
access-list 101 deny tcp any any eq 22
access-list 101 permit ip any any

interface ethernet0
ip access-group 101 in

就印象來設定...應該是這樣吧...

1 個回答

1
魷魚
iT邦新手 1 級 ‧ 2017-02-24 15:00:35
  1. 特定IP,用ACL允許某個IP通過。
    指令語法(config)#
    access-list 號碼 動作 1.Protocol 2.Source-IP 3.Source-Port 4.Destionation-IP 5.Destionation-Port
    ex: access-list 1 permit IP host 192.168.0.1 eq 22 設備IP eq22
    詳細設定自行評估

  2. 某使用者可以進入,用CLI帳戶權限來處理。
    用設備本身帳號/密碼認證,必須先建立設備本身的帳號
    (config)#username test privilege 0~15 password test (新增或修改)
    設定好後再設定權限,就可以達到你的需求。

魷魚 iT邦新手 1 級 ‧ 2017-02-24 15:01:44 檢舉

哪裡不夠仔細你再問,有點久沒去設定有點忘記確切流程了@@

的確差不多是這樣的設定
但是我建議樓主
麻煩可以先Google或是查完書籍
實作下來依舊遇到困難
再提出~~~是否比較好呢?

魷魚 iT邦新手 1 級 ‧ 2017-03-01 11:05:19 檢舉

不過剛進公司就可以碰到router設定,公司的心臟一定很大顆XDDDD
我也好想玩一玩設備喔,但好怕玩掛XDDDD

我要發表回答

立即登入回答