Cisco設備 Core Switch & Core Router限制特定IP遠端登入

acl acs cisco switch router

SICA 2017-02-24 14:25:44 ‧ 15671 瀏覽

分享至

由於是網管新鮮人
還不太熟練....來請教各位大神幫幫忙

有幾台核心Cisco設備 core switch / router
被要求需設定ACL只能讓特定某幾個ip登入(ssh遠端等..，
同時也要搭配ACS只能限定讓有權限的人連進去，
有點複雜，小的有點頭疼.....

有大大能夠教學的仔細點...該怎麼操作呢 ><

(如果我發問問得不太好，跟我說一下 ^^")

謝謝各位的解答!!!
後來我使用了以下方法但又遇到問題了 GG
Ex: 允許10.10.10.1 及 10.10.10.2 透過vty方式登入

( config )#access-list 10 permit host 10.10.10.1 (還有一個10.10.10.2)
( config )#line vty 0 4
( config – line )#access-class 10 in

設好時show run會出現以下這些訊息顯示已設定成功
access-list 10 permit 10.10.10.1
access-list 10 permit 10.10.10.2

live vty 0 4
access-class 10 in
操作上也都是OK的~
但後來我試看看拿掉其中一個IP
恩就很簡單的
( config )#no access-list 10 permit host 10.10.10.1
但是重點問題來了!!!!!!!!!!!
我只NO掉其中一個IP 怎麼會全部的IP一起被NO掉了呢????

丹尼爾 iT邦研究生 2 級 ‧ 2017-03-01 14:49:24 檢舉

允許 192.168.0.10 透過 22 port 登入
access-list 101 permit tcp host 192.168.0.10 host RouterIP eq 22
access-list 101 deny tcp any any eq 22
access-list 101 permit ip any any

interface ethernet0
ip access-group 101 in

就印象來設定...應該是這樣吧...

登入發表討論

直播研討會

{{ item.channelVendor }} {{ item.webinarstarted }} |

直播中

1 個回答

魷魚

iT邦新手 1 級 ‧ 2017-02-24 15:00:35

特定IP，用ACL允許某個IP通過。
指令語法(config)#
access-list 號碼動作 1.Protocol 2.Source-IP 3.Source-Port 4.Destionation-IP 5.Destionation-Port
ex: access-list 1 permit IP host 192.168.0.1 eq 22 設備IP eq22
詳細設定自行評估
某使用者可以進入，用CLI帳戶權限來處理。
用設備本身帳號/密碼認證，必須先建立設備本身的帳號
(config)#username test privilege 0~15 password test (新增或修改)
設定好後再設定權限，就可以達到你的需求。