Subnets.ru

[Mechanic]

есть cisco 3560G, роутит локалку , реальных ипов на ней нету.
Сейчас появилась необходимость роутить еще и реальные ипы.
Как лучше ограничить доступ по ssh,telnet,web из инет адресов, оставив управление только из одной подсети 10.1.11.0/24 ?

[lehisnoe]

Делается это при помощи аксесс-листов.
Для telnet и ssh:

Код: Выделить всё

cs3560-M9#conf t
cs3560-M9(config)#line vty 0 15
cs3560-M9(config-line)#access-class TELNET_from_OFFICE in


где в TELNET_from_OFFICE описаны хосты, кот. разрешен доступ к консоли

для web:

Код: Выделить всё

cs3560-M9(config)#ip http access-class 25

где в 25 стандартном аксесс-листе описаны хосты, кот. разрешен доступ к web

[Mechanic]

ок, спасиб
телнет и веб ограничил подсетью.
кстати если кому понадобится, маска в access-list вносится в формате wilcard, с чем долго разбирался

[lehisnoe]

Пожалуйста

[root]

кстати если кому понадобится, маска в access-list вносится в формате wilcard

так там об этом и так написано

ct-01(config)#access-list 1 permit 10.10.10.0 ?
A.B.C.D Wildcard bits
log Log matches against this entry
<cr>

учимся пользоваться знаком "?"