简介
本文档介绍了支持的访问控制列表(ACL)结构,该结构控制对交换机的telnet访问。此限制也适用于SSH,但以下具体示例仅适用于telnet。
问题
用户希望仅允许从网络中的一台主机telnet至交换机。例如,只有主机10.0.0.2可以telnet至交换机IP 10.0.0.1。
10.0.0.2 10.0.0.1
+—+ +—+
|主机 | |交换机 |
| """"""""""""""Gi0/1"| |
+—+—+ +—+
以下是在Cisco IOS®版本上不工作的配置示例,该版本没有Cisco Bug ID CSCuw89081的修复程序。
ip access-list extended 100
permit tcp host 10.0.0.2 host 10.0.0.1 eq telnet
line vty 0 4
access-class 100 in
transport input telnet
login
password cisco
对于具有Cisco Bug ID CSCuw89081的修复的Cisco IOS版本,已添加在特定目标IP地址上匹配的功能,因此未发现此问题。
解决方案
根据设计,access-class仅匹配access-list的源IP地址。Access-class允许从整体上访问路由器,而不是仅访问特定路由器地址上的路由器。此行为已通过Cisco Bug ID CSCuw89081更改。
以下是在Cisco IOS上工作的配置示例,该配置没有Cisco Bug ID CSCuw89081的修复程序。
ip access-list extended 100
permit tcp host 10.0.0.2 any eq telnet
line vty 0 4
access-class 100 in
transport input telnet
login
password cisco
反馈