ACL Cisco Catalyst 1300 для администрирования

DmitriiPetrov

Здравствуйте, все Я приобрел Cisco Catalyst 1300 и не могу понять, можно ли настроить ACL для ssh и веб-входа, чтобы ограничить доступ к конфигурации устройства. Я прочитал эту статью (
https://www.cisco.com/c/en/us/td/docs/switches/campus-lan-switches-access/Catalyst-1200-and-1300-Switches/cli/C1300-cli
), но не нашел ничего похожего Если кто-нибудь может подсказать мне соответствующую
документацию или, еще лучше, пример команды,
буду очень благодарен. Заранее спасибо.

balaji.bandi

В общем, я использую следующее: configure terminal
!
management access-list MGMT-ACL permit tcp 192.168.1.0 0.0.0.255 any eq 22
permit tcp 192.168.1.0 0.0.0.255 any eq 80
permit tcp 192.168.1.0 0.0.0.255 any eq 444
deny ip any any interface vlan XX (or interface) ip access-group MGMT-ACL in Вы также можете использовать VTY ACL: ip access-list standard VTY_ACCESS
! Permit the specific IP addresses or subnets that should have access
permit 192.168.1.100
permit 10.0.0.0 0.0.0.255 line vty 0 15
access-class VTY_ACCESS in BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

pieterh

Вам необходимо перейти в расширенный режим и создать профиль доступа https://www.cisco.com/c/en/us/td/docs/switches/campus-lan-switches-access/Catalyst-1200-and-1300-Switches/Admin-Guide/catalyst-1300-admin-guide/security.html#ID-000056a6
Полагаю, этот графический интерфейс создаст список доступа для управления и применит его, где вы сможете настроить правила
в руководстве по CLI, что соответствует
главе: Команды ACL управления
https://www.cisco.com/c/en/us/td/docs/switches/campus-lan-switches-access/Catalyst-1200-and-1300-Switches/cli/C1300-cli/management-acl-commands.html#wp7474529900 switchxxxxxx(config)#
management access-list mlist
switchxxxxxx(config-macl)#
deny Синтаксис
permit [идентификатор интерфейса] [служба service]
permit ip-source {ipv4-address | ipv6-address/ipv6-prefix-length} [mask {mask | prefix-length}] [идентификатор интерфейса] [служба service]

DmitriiPetrov

Первый вариант – хорошее решение, но это означает, что если у меня на устройстве есть несколько интерфейсов VLAN с IP-адресами, я должен создать соответствующий ACL для каждого из них.
Второй вариант... К сожалению, у 1300 нет линии vty. У него есть линии ssh и telnet, но я не вижу способа привязать к ним ACL.

balaji.bandi

Я знаю, что прошивка Cat 1300 отличается от других (IOS и IOS-XE) — это мое руководство по тому, как это можно сделать. Если возможно, вам нужно сделать так, чтобы интерфейс администратора мог использоваться для SSH и HTTP, как это можно сделать с исходным интерфейсом (например, BB
=====Preenayamo Vasudevam=====
***** Оцените все полезные ответы *****
Как обратиться за помощью к сообществу Cisco

DmitriiPetrov

Извините, но я не совсем понимаю, простите за мой недостаток опыта. Не могли бы вы пояснить или привести примеры, или вы имеете в виду пример, который вы показали ранее?

KJK99

Вы имеете в виду CLI, а не ACL? Это подойдет? ip ssh server
ip ssh logging enable
ip ssh password-auth Есть и другие настройки безопасности. Чтобы узнать о них, вы можете войти в интерфейс администратора и «поиграть» с ним в режиме «Расширенный». Коммутатор сгенерирует CLI, которые вы сможете использовать позже при развертывании. Крис К.

DmitriiPetrov

Я имею в виду привязку ACL к vty для глобального ограничения IP-адресов, которые могут получить доступ к устройству через ssh.
Предложенные вами команды уже включены, но у меня есть проблема: любой пользователь в сети, знающий учетные данные устройства, может войти в него, будь то из VLAN данных или VLAN управления.

DmitriiPetrov

Большое спасибо! После активации этого профиля в cli появилась строка «management access-class MGMT-ACL». Реализация оказалась совсем не такой, как я ожидал.

pieterh

и теперь вклад
@balaji.bandi
будет иметь больше смысла
![]