我们有几个 L3 交换机作为我们站点(中央和远程)的核心。这些交换机有多个用于 vlan 路由的 IP。这些 IP 是 vlan 的网关。是否可以避免其中一些 IP 的 ssh 连接?我只是希望能够通过一个 IP(管理 vlan IP)连接这些交换机,并避免来自其他 vlan 的所有连接。我们有 DELL Force10、procurve 和 aruba L3。谢谢。
L3 交换机作为网络核心和 ssh 连接
网络工程
转变
SSH
戴尔
2022-02-09 19:15:58
1个回答
如果您的交换机支持(几乎是标准的)扩展 ACL,您可以使用类似的东西(例如 Procurve/Aruba 2530)
ip access-list extended "server_in"
1000 permit tcp 10.0.0.2/32 10.0.1.0/24 eq 22
1010 deny tcp 10.0.0.0/24 10.0.1.0/24 eq 22
9999 permit ip any any
exit
vlan 1010 ip access-group "server_in" vlan-in
在入口的服务器端 SVI/VLAN 上
10.0.0.0/24= 客户端 VLAN 100010.0.0.2= 管理员工作站10.0.1.0/24= 服务器 VLAN 1010
此 ACL 停止从客户端 VLAN 到服务器 VLAN 的所有 SSH 访问(管理员工作站除外),并允许其他任何操作。
如果交换机不支持该/xx符号(适用于 Procurve 和 Aruba,甚至更新的 L2 交换机),您将需要使用deny tcp 10.0.0.0 0.0.0.255 10.0.1.0 0.0.0.255 eq 22. 不是网络掩码而是通配符掩码,0.0.0.255几乎相反。
您可以以非常灵活的方式调整这些访问规则。如果您的网络排列整齐,它通常很容易实现。
由于您似乎对此不熟悉,请记住 ACL首先适合- 第一个匹配的规则是应用的规则 -deny ip any any最后有一个隐含的,这就是为什么如果你需要一个显式的9999 permit ip any any(或类似的)不想那样。