ISO XE / zdalny dostęp

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
lepto0
fresh
fresh
Posty: 3
Rejestracja: 03 mar 2018, 21:39

ISO XE / zdalny dostęp

#1

#1 Post autor: lepto0 »

Witam,
podczas migracji z IOS do IOS XE napotkałem na pewien problem z ograniczeniem zdalnego dostępu (ssh) do routera. Poprzednio aby ograniczyć możliwość logowania przez wybrany interfejs wystarczyło użyć

Kod: Zaznacz cały

control-plane host
 management-interface ..
plus ewentualnie

Kod: Zaznacz cały

line vty ..
 access-class .. in vrf-also

W ISO XE control-plane host już nie ma, a samo line vty + access-class jest niewystarczające. Szukając rozwiązania natknąłem się na pewnie workaround polegający na przeniesieniu managementu na dedykowany interfejs znajdujący się w vrf mgmt-intf, a następnie za pomocą polityki control-plane zablokowaniu ssh, telnet, itp. Trik podobno polega na tym, że interfejs ten znajduje się poza kontrolą QFP i przez to polityka zdefiniowana w control-plane go nie dotyczy.


Czy znacie jakąś inną/lepszą metodę pozwalającą ograniczyć dostęp do routera poprzez wybrany interfejs lub vrf ?

lbromirs
CCIE
CCIE
Posty: 4101
Rejestracja: 30 lis 2006, 08:44

Re: ISO XE / zdalny dostęp

#2

#2 Post autor: lbromirs »

lepto0 pisze: 03 mar 2018, 22:58 [...]
W IOS XE control-plane host już nie ma,
Jak nie ma, jak jest? Management plane protection:

Kod: Zaznacz cały

rtr-edge(config)#control-plane host 
rtr-edge(config-cp-host)#?
Control Plane host configuration commands:
  exit                  Exit from control-plane host configuration mode
  management-interface  Configure interface for receiving network management traffic
  no                    Negate or set default values of a command
Powodzenia.

lepto0
fresh
fresh
Posty: 3
Rejestracja: 03 mar 2018, 21:39

Re: ISO XE / zdalny dostęp

#3

#3 Post autor: lepto0 »

Ja próbowałem na dwóch róznych obrazach, i w obu tej komendy brakuje :


isr4400-universalk9.03.16.07a.S.155-3.S7a-ext.SPA.bin

Kod: Zaznacz cały

rtr1#show version
Cisco IOS XE Software, Version 03.16.07a.S - Extended Support Release
Cisco IOS Software, ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 15.5(3)S7a, RELEASE SOFTWARE (fc1)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Tue 20-Feb-18 09:15 by mcpre

Kod: Zaznacz cały

rtr1(config)#control-plane ?
  <cr>

rtr1(config)#control-plane
rtr1(config-cp)#?
Control Plane configuration commands:
  exit            Exit from control-plane configuration mode
  no              Negate or set default values of a command
  service-policy  Configure QOS Service Policy

isr4400-universalk9.16.03.06.SPA.bin

Kod: Zaznacz cały

rtr1#show version
Cisco IOS XE Software, Version 16.03.06
Cisco IOS Software [Denali], ISR Software (X86_64_LINUX_IOSD-UNIVERSALK9-M), Version 16.3.6, RELEASE SOFTWARE (fc3)
Technical Support: http://www.cisco.com/techsupport
Copyright (c) 1986-2018 by Cisco Systems, Inc.
Compiled Wed 28-Feb-18 16:17 by mcpre

Kod: Zaznacz cały

rtr1(config)#control-plane ?
  <cr>

rtr1(config)#control-plane
rtr1(config-cp)#?
Control Plane configuration commands:
  exit            Exit from control-plane configuration mode
  no              Negate or set default values of a command
  service-policy  Configure QOS Service Policy

lepto0
fresh
fresh
Posty: 3
Rejestracja: 03 mar 2018, 21:39

Re: ISO XE / zdalny dostęp

#4

#4 Post autor: lepto0 »

Gdyby ktoś kiedyś potrzebował, to działa rozwiązanie podane na tej stronie : http://www.networking-forum.com/viewtop ... 33&t=44953

ODPOWIEDZ