zdanevichs Опубликовано 22 ноября, 2018 · Жалоба Возникла необходимость ограничить доступ к управлению железкой. Собрав всю информацию которую получилось (в силу моих возможностей), решил это сделать при помощи COPP (как мне кажется для этого предназначенной фичи). Текущий конфиг COPP (он по сути дефолтный) выглядит так: version 7.0(3)I7(2) class-map type control-plane match-any copp-icmp match access-group name copp-system-acl-icmp class-map type control-plane match-any copp-ntp match access-group name copp-system-acl-ntp class-map type control-plane match-any copp-s-arp class-map type control-plane match-any copp-s-bfd class-map type control-plane match-any copp-s-bpdu class-map type control-plane match-any copp-s-dai class-map type control-plane match-any copp-s-default class-map type control-plane match-any copp-s-dhcpreq class-map type control-plane match-any copp-s-dhcpresp match access-group name copp-system-dhcp-relay class-map type control-plane match-any copp-s-dpss class-map type control-plane match-any copp-s-eigrp match access-group name copp-system-acl-eigrp match access-group name copp-system-acl-eigrp6 class-map type control-plane match-any copp-s-glean class-map type control-plane match-any copp-s-igmp match access-group name copp-system-acl-igmp class-map type control-plane match-any copp-s-ipmcmiss class-map type control-plane match-any copp-s-l2switched class-map type control-plane match-any copp-s-l3destmiss class-map type control-plane match-any copp-s-l3mtufail class-map type control-plane match-any copp-s-l3slowpath class-map type control-plane match-any copp-s-pimautorp class-map type control-plane match-any copp-s-pimreg match access-group name copp-system-acl-pimreg class-map type control-plane match-any copp-s-ping match access-group name copp-system-acl-ping class-map type control-plane match-any copp-s-ptp class-map type control-plane match-any copp-s-routingProto1 match access-group name copp-system-acl-routingproto1 match access-group name copp-system-acl-v6routingproto1 class-map type control-plane match-any copp-s-routingProto2 match access-group name copp-system-acl-routingproto2 class-map type control-plane match-any copp-s-selfIp class-map type control-plane match-any copp-s-ttl1 class-map type control-plane match-any copp-s-v6routingProto2 match access-group name copp-system-acl-v6routingProto2 class-map type control-plane match-any copp-s-vxlan class-map type control-plane match-any copp-snmp match access-group name copp-system-acl-snmp class-map type control-plane match-any copp-ssh match access-group name copp-system-acl-ssh class-map type control-plane match-any copp-stftp match access-group name copp-system-acl-stftp class-map type control-plane match-any copp-tacacsradius match access-group name copp-system-acl-tacacsradius class-map type control-plane match-any copp-telnet match access-group name copp-system-acl-telnet policy-map type control-plane copp-system-policy class copp-s-selfIp police pps 500 class copp-s-default police pps 400 class copp-s-l2switched police pps 200 class copp-s-ping police pps 100 class copp-s-l3destmiss police pps 100 class copp-s-glean police pps 500 class copp-s-l3mtufail police pps 100 class copp-s-ttl1 police pps 100 class copp-s-ipmcmiss police pps 400 class copp-s-l3slowpath police pps 100 class copp-s-dhcpreq police pps 300 class copp-s-dhcpresp police pps 300 class copp-s-dai police pps 300 class copp-s-igmp police pps 400 class copp-s-routingProto2 police pps 1300 class copp-s-v6routingProto2 police pps 1300 class copp-s-eigrp police pps 200 class copp-s-pimreg police pps 200 class copp-s-pimautorp police pps 200 class copp-s-routingProto1 police pps 1000 class copp-s-arp police pps 200 class copp-s-ptp police pps 1000 class copp-s-vxlan police pps 1000 class copp-s-bfd police pps 350 class copp-s-bpdu police pps 12000 class copp-s-dpss police pps 1000 class copp-icmp police pps 200 class copp-telnet police pps 500 class copp-ssh police pps 500 class copp-snmp police pps 500 class copp-ntp police pps 100 class copp-tacacsradius police pps 400 class copp-stftp police pps 400 control-plane service-policy input copp-system-policy Из него видно что политики доступа ssh прописаны в access-list copp-system-acl-ssh в котором по умолчанию всем можно ходить на 22 порт: IP access list copp-system-acl-ssh 10 permit tcp any any eq 22 20 permit tcp any eq 22 any Изменил acl до следующего состояния: IP access list copp-system-acl-ssh 10 permit tcp 10.1.1.0/24 any eq 22 Но доступ к ssh не пропадает даже при 1 deny tcp any any eq 22 Подскажите, каким рабочим способом можно выполнить мою задачу на этом коммутаторе? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
StSphinx Опубликовано 22 ноября, 2018 · Жалоба COPP это не про доступ к управлению. Это защита control plane от всяких неприятностей. line vty access-class MGMT in Вот так делаем. И обычный ACL. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
zdanevichs Опубликовано 22 ноября, 2018 · Жалоба Спасибо, вполне рабочий вариант :). Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...