Configuração do roteador do Cisco IOS - como desabilitar o SSH / SNMP em todos os endereços de loopback?

2

Desculpe pela pergunta ingênua; uma leitura rápida do documento da Cisco não responde a essa pergunta ...

Então eu tenho um roteador (digamos, por uma questão de argumento, um 4500 executando o IOS 15.x)

Possui interfaces em três sub-redes diferentes - 10.0.0.1/24, 10.0.1.1/24 e 10.0.2.1/24 Ele também tem um endereço de loopback de 172.16.0.33

Como faço para que SSH / SNMP e outro tráfego administrativo funcionem no endereço 172, mas não funcionem nos endereços IP que desejo usar somente para o encaminhamento L3?

Idealmente, isso pode ser feito desabilitando o acesso ao plano de controle para essas interfaces não apenas usando uma ACL, mas o que quer que seja, eu não me importo tanto assim, desde que funcione ...

Obrigado!

    
por chris 21.11.2012 / 17:14

2 respostas

3

Você não pode desativar o daemon em uma interface. ACL é o caminho a percorrer. A filtragem deve ser feita no endereço de origem, não no destino.

Exemplo de configuração:

line vty 0 4
 access-class secure_vty in
 ipv6 access-class secure6_vty in


ip access-list standard secure_vty
 permit 172.16.10.0 0.0.0.255
 deny any

ipv6 access-list secure6_vty
 deny ipv6 any any

Nesta configuração, 172.16.10.0/24 é a sua rede de gerenciamento onde você tem o seu NMS, e você não tem nenhum ipv6 no NMS, mas há alguns no switch, então ele deve estar protegido.

Certifique-se também de desativar o sshv1 que está ativado por padrão:

Router(config)# ip ssh version 2
    
por 21.11.2012 / 17:25
3

Policiamento do Plano de Controle seria a implementação mais limpa

Primeiro, crie uma ACL que combine com o tráfego que você acabará por eliminar

ip access-list extended DROP
 permit tcp any host 10.0.0.1 eq 22
 permit tcp any host 10.0.1.1 eq 22
 permit tcp any host 10.0.2.1 eq 22
 permit udp any host 10.0.0.1 eq snmp
 permit udp any host 10.0.1.1 eq snmp
 permit udp any host 10.0.2.1 eq snmp

Em seguida, crie um mapa de classe que corresponda à ACL criada acima:

class-map SNMP_AND_SSH_TO_NON_LOOPBACK
 match access-group name DROP

Em seguida, crie um mapa de políticas com a ação DROP no tráfego desejado

policy-map CONTROL_PLANE_POLICING
 class SNMP_AND_SSH_TO_NON_LOOPBACK
  drop

Finalmente, aplique o policiamento do plano de controle ao seu plano de controle

control-plane
 service-policy input CONTROL_PLANE_POLICING

Qualquer tráfego destinado ao plano de controle que NÃO corresponde à sua lista de acesso irá PASSAR (isso inclui o tráfego SNMP e SSH destinado ao endereço Loopback)

    
por 23.11.2012 / 17:40