对不起,天真的问题; 快速阅读的思科文档不回答这个问题…
所以我有一个路由器(说为了争论4500运行IOS 15.x)
它有3个不同子网的接口 – 10.0.0.1/24,10.0.1.1/24和10.0.2.1/24它也有一个环回地址172.16.0.33
我该如何使SSH / SNMP和其他pipe理stream量在172地址上工作,但不能用于我只用于L3转发的IP地址?
理想情况下,这可以通过禁用控制平面访问这些接口来完成,而不仅仅是使用ACL,但是不pipe怎么样,只要它工作,我实际上并不关心…
谢谢!
您不能禁用接口上的守护进程。 ACL是要走的路。 过滤应该在源地址而不是目的地上完成。
configuration示例:
line vty 0 4 access-class secure_vty in ipv6 access-class secure6_vty in ip access-list standard secure_vty permit 172.16.10.0 0.0.0.255 deny any ipv6 access-list secure6_vty deny ipv6 any any 在这个configuration中, 172.16.10.0/24是你的pipe理networking,你有你的NMS,而你在NMS上没有ipv6,但是有一些在交换机上,所以它必须被保护。
一定要禁用默认启用的sshv1 :
Router(config)# ip ssh version 2
控制平面警务将是最干净的实施
首先,创build一个匹配stream量的ACL,您将最终丢弃该stream量
ip access-list extended DROP permit tcp any host 10.0.0.1 eq 22 permit tcp any host 10.0.1.1 eq 22 permit tcp any host 10.0.2.1 eq 22 permit udp any host 10.0.0.1 eq snmp permit udp any host 10.0.1.1 eq snmp permit udp any host 10.0.2.1 eq snmp
接下来,创build一个与上面创build的ACL匹配的类映射:
class-map SNMP_AND_SSH_TO_NON_LOOPBACK match access-group name DROP
接下来,在所需stream量上创build一个动作为DROP的策略映射
policy-map CONTROL_PLANE_POLICING class SNMP_AND_SSH_TO_NON_LOOPBACK drop
最后,将控制平面策略应用到您的控制平面
control-plane service-policy input CONTROL_PLANE_POLICING
任何发往控制平面的stream量都不符合您的访问列表将会通过(这包括发往环回地址的SNMP和SSHstream量)