Comware 7: ACL para gerenciamento Telnet

A utilização de listas de acesso (ACL) para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir os hosts que terão permissão de acesso o equipamento.

Os equipamentos com a versão 7 do Comware diferem um pouco na configuração de atribuição de uma ACL  ao acesso Telnet e SSH.

#
acl basic 2000
 rule 0 permit source 192.168.11.1 0
 rule 5 permit source 192.168.11.12 0
 rule 10 permit source 192.168.11.11 0
! ACL com os hosts com permissão de acesso
#
 telnet server enable
 telnet server acl 2000
! Habilitando o serviço Telnet e aplicando  a ACL 2000
#

Para filtrar o acesso via SSH utilize a mesma lógica.

ssh server enable
ssh server acl 2000

Caso o seu switch/roteador não suportar os comandos citados, veja o script citado por esse mesmo blog no post: http://www.comutadores.com.br/acl-para-gerenciamento-telnet-ssh-snmp/

Até logo

ACL para Gerenciamento Telnet, SSH, SNMP …

A aplicação de ACL para limitar as redes que poderão efetuar o gerenciamento do Switch e/ou Roteador é uma técnica bastante utilizada para restringir quais redes ou hosts de origem terão a permissão para gerenciar o equipamento via Telnet, SSH ou SNMP

Imaginando uma empresa com diversas sub redes,  permitiremos no cenário abaixo o acesso ao Switch apenas da sub rede 172.31.1.0/24 (lembrando que a mascara para listas de acesso [ACL] são no formato de mascara curinga [wildcard mask])

acl number 2000
rule 0 permit source 172.31.1.0 0.0.0.255
rule 5 deny
#
user-interface vty 0 4
acl 2000 inbound
! Vinculando a ACL 2000 ao VTY
#
snmp-agent community read 123abc acl 2000
snmp-agent community write aaa111 acl 2000
! Vinculando a ACL 2000 às comunidades SNMP "123abc" e "aaa111"

Caso a interface de gerenciamento esteja dentro de uma VRF, ou a origem do acesso inicie de uma vpn-instance (VRF), a ACL deverá fazer referência a isso:

[H3C-acl-basic-2000]rule 1 permit source 172.31.1.0 0.0.0.255 vpn-instance ?
STRING<1-31>  VPN-Instance name

Dúvidas? Deixe um comentário…
Até logo!

Switches 3Com 7900 – Criação de Usuário para gerenciamento remoto e vínculo com endereço IP!

Publicado originalmente em 10 DE AGOSTO DE 2010

O Script de hoje é bastante simples e permite a criação de usuário e senha para acesso remoto, certificando o IP de origem da máquina do Técnico que fará o acesso remoto (conexão Telnet ou SSH) para gerenciamento do Switch.

Obs: certifique-se que o serviço SSH ou Telnet está habilitado no Switch 

local-user diego
!Criando o usuário diego
password simple diego
!Configurando a senha diego para o usuário diego,
a linha password poderá ser substituída por
"password cipher diego" que cifrará a senha no arquivo
de configuração durante a visualização
bind-attribute ip 172.31.1.4
! efetuando o vinculo da máquina 172.31.1.4 com o usuário diego, isto é, se o usuário tentar efetuar a conexão telnet ou ssh no Switch de outra origem, o acesso do usuário será negado!
authorization-attribute level 3
! atribuindo o nível de administrador ao usuário.
service-type ssh telnet
! permitindo acesso ssh e telnet pelo usuário diego

Obs:Certifique-se também a configuração da Interface vty 0 4 😉

user-interface vty 0 4
authentication-mode scheme