How to filter telnet without access-group under interface and access-class under line vty ?

最近我在網路上看到有人談到這樣的主題,禁止在interface or line vty中設定任何的filter來過濾telnet traffic,如果在沒有禁止使用ACL的條件下,我第一個想到的就是利用CoPP(Control Plane Policing)

假設我們只允許其他Router Loopback 10.1.1.1, 10.1.1.2進行telnet連上本機的話,我們可以利用以下的CoPP設定來達成,不需要在interface or line vty中設定:

Router(config)# access-list 100 deny tcp host 10.1.1.1 any eq telnet 
Router(config)# access-list 100 deny tcp host 10.1.1.2 any eq telnet
Router(config)# access-list 100 permit tcp any any eq telnet
!
Router(config)# class-map TELNET
Router(config-cmap)# match access-group 100
!
Router(config)# policy-map CoPP
Router(config-pmap)# class TELNET
Router(config-pmap-c)# drop
!
Router(config)# control-plane
Router(config-cp)# service-policy input CoPP
1 comment

Popular posts from this blog

Pairwise Master Key (PMK) vs Parewise Transient Key(PTK) vs PseudoRandom Function(PRF) vs GTK (Groupwise Transient Key)

DSSS(直接序列展頻技術) vs OFDM(正交頻率多重分割)

DTMF Relay : RTP-NTE vs SIP INFO vs SIP NOTIFY