我有一个思科3750交换机,我想修改允许/拒绝的IP地址,可以在SSH和“启用”模式下访问它。 不知道如何,谷歌search几乎不可能得到这个信息似乎。
据我所知,你不能设置基于IP地址的enable模式的权限。
至less可以通过使用ACL控制允许哪些IP通过SSH / Telnet连接到交换机,但是一旦它们以用户模式连接,它们已经连接,所以它们可以调用enable特权模式(当然,他们应该知道密码进一步…)。
要使用ACL控制基于IP地址的SSH访问,方法将如下所示:
ip access-list extended Manage-SSH permit tcp host 192.168.1.10 host 0.0.0.0 eq 22 permit tcp host 192.168.1.11 host 0.0.0.0 eq 22 deny ip any any log line vty 0 4 access-class Manage-SSH transport input ssh
编辑:
我将如何添加一个IP来允许列表,并拒绝其他所有,或者从允许列表中删除一个IP已经在那里?
对于这一切,你将不得不进入config mode ,然后编辑ACL:
R1#conf terminal R1(config)#ip access-list extended Manage-SSH
那么,从这里:
允许一个新的IP( 192.168.1.12 ):
R1(config-ext-nacl)#permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1(config-ext-nacl)#end
要删除一个ip( 192.168.1.12 ),只需在命令前加上no :
R1(config-ext-nacl)#no permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1(config-ext-nacl)#end
否认一切:已经回答,如果我的原始答案。
你需要结束你的ACL:
deny ip any any log
这意味着以前的permit...命令没有明确允许的内容将被拒绝。
编辑2:
关于我们的评论,这里是一个testing用例。
我们准备去 :
创build :
R1#conf terminal R1(config)#ip access-list extended Manage-SSH R1(config-ext-nacl)#permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1(config-ext-nacl)#end R1#show access-lists Extended IP access list Manage-SSH permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1#
删除:
R1#conf terminal R1(config)#ip access-list extended Manage-SSH R1(config-ext-nacl)#no permit tcp host 192.168.1.12 host 0.0.0.0 eq 22 R1(config-ext-nacl)#end R1#show access-lists Extended IP access list Manage-SSH R1#
访问列performance在是空的。
现在在ACL 115上执行相同的操作(在所有命令中用115replaceManage-SSH ),但警告! 似乎你并不知道自己在做什么,所以如果我们正在谈论现场切换,请小心 。