Cisco IOS routerconfig-ループバックアドレス以外のすべてでSSH / SNMPを無効にする方法は?
素朴な質問でごめんなさい。 Ciscoのドキュメントをざっと読んでも、この質問には答えられません...
だから私はルーターを持っています(議論のために4500を実行しているIOS 15.x)
10.0.0.1/24、10.0.1.1/24、および10.0.2.1/24の3つの異なるサブネットにインターフェイスがあります。また、172.16.0.33のループバックアドレスもあります。
SSH/SNMPおよびその他の管理トラフィックが172アドレスで機能するが、L3転送にのみ使用したいIPアドレスでは機能しないようにするにはどうすればよいですか?
理想的には、ACLを使用するだけでなく、これらのインターフェイスへのコントロールプレーンアクセスを無効にすることでこれを行うことができますが、それが機能する限り、実際にはそれほど気にしません...
ありがとう!
コントロールプレーンポリシングが最もクリーンな実装になります
まず、最終的にドロップするトラフィックと一致するACLを作成します
ip access-list extended DROP
permit tcp any Host 10.0.0.1 eq 22
permit tcp any Host 10.0.1.1 eq 22
permit tcp any Host 10.0.2.1 eq 22
permit udp any Host 10.0.0.1 eq snmp
permit udp any Host 10.0.1.1 eq snmp
permit udp any Host 10.0.2.1 eq snmp
次に、上記で作成したACLに一致するクラスマップを作成します。
class-map SNMP_AND_SSH_TO_NON_LOOPBACK
match access-group name DROP
次に、目的のトラフィックに対してアクションDROPを使用してポリシーマップを作成します
policy-map CONTROL_PLANE_POLICING
class SNMP_AND_SSH_TO_NON_LOOPBACK
drop
最後に、コントロールプレーンポリシングをコントロールプレーンに適用します
control-plane
service-policy input CONTROL_PLANE_POLICING
アクセスリストと一致しないコントロールプレーン宛てのトラフィックはすべて合格します(これには、ループバックアドレス宛てのSNMPおよびSSHトラフィックが含まれます)。
インターフェイスでデーモンを無効にすることはできません。 ACLは進むべき道です。フィルタリングは、宛先ではなく送信元アドレスで実行する必要があります。
構成例:
line vty 0 4
access-class secure_vty in
ipv6 access-class secure6_vty in
ip access-list standard secure_vty
permit 172.16.10.0 0.0.0.255
deny any
ipv6 access-list secure6_vty
deny ipv6 any any
この構成では、172.16.10.0/24は、NMSがあり、NMSにipv6がないが、スイッチにいくつかあるため、保護する必要がある管理ネットワークです。
必ずsshv1を無効にするこれはデフォルトで有効になっています:
Router(config)# ip ssh version 2