我正在尝试使用以下扩展 ACL 来限制 TFTP,但我仍然可以使用 tftp 将文件上传到路由器。不知道怎么回事,大家能帮忙吗?
方法一:
permit udp host <ip> any eq 69
deny udp any any eq 69
permit ip any any
界面:
ip access-group <ACL name> out
即使拒绝 udp host any any eq 69 也不起作用。
通过入站(in)注册,我无法访问 SSH 并出现以下错误:packet_write_wait: Connection to port 22: Broken pipe
您的方法 1 应该可以工作,前提是它适用于面向服务器的接口(仅允许主机IP使用 TFTP)。
如果您将该 ACL 应用于入口接口,面向客户端,它应该也可以工作。应始终首选将 ACL 应用于入口流量。
请注意,在应用时,您确实需要permit ip any anyACL 在最后不丢弃所有流量(但明确允许) - 不要将空的或半完成的 ACL 应用到活动接口。
不幸的是,由于此流量注定要发送到设备/被视为管理平面流量,我认为输入接口上的常规 ACL 无法完成这项工作。您可能必须使用 COPP(控制平面策略)来保护设备免受发往端口 69 的有害流量的影响。以下是此配置的示例:
!
ip access-l ex tftp
permit udp any any eq 69
permit udp any eq 69 any
!
class match-all tftp
match access-group tftp
!
policy-map tftp
class tftp
drop
!
control-plane
service-policy input tftp
!
问候,
对战我