How to filter telnet without access-group under interface and access-class under line vty ?
最近我在網路上看到有人談到這樣的主題,禁止在interface or line vty中設定任何的filter來過濾telnet traffic,如果在沒有禁止使用ACL的條件下,我第一個想到的就是利用CoPP(Control Plane Policing)。
假設我們只允許其他Router Loopback 10.1.1.1, 10.1.1.2進行telnet連上本機的話,我們可以利用以下的CoPP設定來達成,不需要在interface or line vty中設定:
假設我們只允許其他Router Loopback 10.1.1.1, 10.1.1.2進行telnet連上本機的話,我們可以利用以下的CoPP設定來達成,不需要在interface or line vty中設定:
Router(config)# access-list 100 deny tcp host 10.1.1.1 any eq telnet
Router(config)# access-list 100 deny tcp host 10.1.1.2 any eq telnet
Router(config)# access-list 100 permit tcp any any eq telnet
!
Router(config)# class-map TELNET
Router(config-cmap)# match access-group 100
!
Router(config)# policy-map CoPP
Router(config-pmap)# class TELNET
Router(config-pmap-c)# drop
!
Router(config)# control-plane
Router(config-cp)# service-policy input CoPP
Comments