Тесты показали, что действительно, с PC2 доступ уже не получить:
В процессе роста сети всё большее внимание стало уделяться безопасности и было принято логичное решение — ограничить возможность получения удалённого доступа к сетевым узлам, а именно разрешить попытки подключения по SSH только из подсети 192.168.1/24. Подготовленные конфигурационные изменения R1 выглядели следующим образом:
в line vty нет сконфигурированного access-class, поэтому любой может пытаться получить R1 CLI и более того, успешно получает.
R1 полностью сконфигурирован для успешного к нему доступа по SSHv2;
PC1 и PC2 это конечные узлы у которых R1 является default gateway;
Давайте лучше я объясню в чём проблема на примере конкретной схемы.
Если искать в интернетах статьи, где рассказывается как ограничить доступ к vty, посредством как telnet, так и SSH, то можно отметить, что в 100% случаев используется standard ACL (ещё и обязательно цифровой, а не именованный, но, видимо, это такая дань old school).
Обнаружил одну интересную, нет, скорее подойдёт слово «странную», особенность в использовании ACL для ограничения сетевого доступа к узлу. Уверен, что можно спокойно жить и без знания этой детали, но меня она действительно удивила.
Комментариев нет:
Отправить комментарий