Nesse vídeo como segunda parte do Guia Rápido, explicamos os principais comandos para a configuração de Switches 3Com/HP.
Até a próxima!
Nesse vídeo como segunda parte do Guia Rápido, explicamos os principais comandos para a configuração de Switches 3Com/HP.
Até a próxima!
A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.
Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL ao acesso Telnet e SSH.
#
acl basic 2000
rule 0 permit source 192.168.11.1 0
rule 5 permit source 192.168.11.12 0
rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
telnet server enable
telnet server acl 2000
! Habilitando o serviço Telnet e aplicando a ACL 2000
#
Para filtrar o acesso via SSH utilize a mesma lógica.
ssh server enable
ssh server acl 2000
Caso o seu switch/roteador não suportar os comandos citados, veja o script citado por esse mesmo blog no post: http://www.comutadores.com.br/acl-para-gerenciamento-telnet-ssh-snmp/
Até logo
A aplicação de ACL para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir quais redes ou hosts de origem terão a permissão para gerenciar o equipamento via Telnet, SSH ou SNMP
Imaginando uma empresa com diversas sub redes, permitiremos no cenário abaixo o acesso ao Switch apenas da sub rede 172.31.1.0/24 (lembrando que a mascara para listas de acesso [ACL] são no formato de mascara curinga [wildcard mask])
acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny
#
user-interface vty 0 4
acl 2000 inbound
! Vinculando a ACL 2000 ao VTY
# snmp-agent community read 123abc acl 2000 snmp-agent community write aaa111 acl 2000 ! Vinculando a ACL 2000 às comunidades SNMP "123abc" e "aaa111"
Caso a interface de gerenciamento esteja dentro de uma VRF, ou a origem do acesso inicie de uma vpn-instance (VRF), a ACL deverá fazer referência a isso:
[H3C-acl-basic-2000]rule 1 permit source 172.31.1.0 0.0.0.255 vpn-instance ?
STRING<1-31> VPN-Instance name
Dúvidas? Deixe um comentário…
Até logo!
Publicado originalmente em 10 DE AGOSTO DE 2010
O Script de hoje é bastante simples e permite a criação de usuário e senha para acesso remoto, certificando o IP de origem da máquina do Técnico que fará o acesso remoto (conexão Telnet ou SSH) para gerenciamento do Switch.
Obs: certifique-se que o serviço SSH ou Telnet está habilitado no Switch
local-user diego !Criando o usuário diego password simple diego !Configurando a senha diego para o usuário diego, a linha password poderá ser substituída por "password cipher diego" que cifrará a senha no arquivo de configuração durante a visualização bind-attribute ip 172.31.1.4 ! efetuando o vinculo da máquina 172.31.1.4 com o usuário diego, isto é, se o usuário tentar efetuar a conexão telnet ou ssh no Switch de outra origem, o acesso do usuário será negado! authorization-attribute level 3 ! atribuindo o nível de administrador ao usuário. service-type ssh telnet ! permitindo acesso ssh e telnet pelo usuário diego
Obs:Certifique-se também a configuração da Interface vty 0 4 😉
user-interface vty 0 4 authentication-mode scheme