Einführung
In diesem Dokument wird die Struktur der unterstützten Zugriffssteuerungsliste (ACL) beschrieben, die den Telnet-Zugriff auf einen Switch steuert. Diese Einschränkung gilt auch für SSH, obwohl das nachfolgende Beispiel nur für Telnet gilt.
Problem
Der Benutzer möchte Telnet von nur einem Host im Netzwerk zum Switch zulassen. Beispiel: Nur Host 10.0.0.2 sollte Telnet-Verbindungen zum Switch IP 10.0.0.1 ermöglichen.
10.0.0.2 10.0.0.1
+—+ +—+
| Host | | Switch |
| ''''''''''''''Gi0/1''| |
+—+— +—++
Dies ist ein Beispiel für eine Konfiguration, die nicht mit einer Cisco IOS®-Version funktioniert, die nicht die Behebung für die Cisco Bug-ID CSCuw89081 aufweist.
ip access-list extended 100
permit tcp host 10.0.0.2 host 10.0.0.1 eq telnet
line vty 0 4
access-class 100 in
transport input telnet
login
password cisco
Bei einer Cisco IOS-Version, die die Behebung für die Cisco Bug ID CSCuw89081 enthält, wurde die Möglichkeit zur Übereinstimmung mit einer bestimmten Ziel-IP-Adresse hinzugefügt, und dieses Problem wird nicht erkannt.
Lösung
Die Zugriffsklasse stimmt standardmäßig nur mit der Quell-IP-Adresse der Zugriffsliste überein. Die Zugriffsklasse ermöglicht den Zugriff auf den Router als Ganzes und nicht nur auf den Router, der sich auf eine bestimmte Router-Adresse bezieht. Dieses Verhalten hat sich durch die Cisco Bug-ID CSCuw89081 geändert.
Das folgende Beispiel zeigt eine Konfiguration für Cisco IOS, die nicht mit der Behebung für die Cisco Bug-ID CSCuw89081 kompatibel ist.
ip access-list extended 100
permit tcp host 10.0.0.2 any eq telnet
line vty 0 4
access-class 100 in
transport input telnet
login
password cisco