只有在擴展訪問清單中將目標主機指定為「Any」時,Telnet/SSH才能正常工作

下載選項

  • PDF     (129.7 KB)
    在多種裝置上使用 Adobe Reader 檢視
  • ePub     (78.0 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上的各種應用程式中檢視
  • Mobi (Kindle)     (62.3 KB)
    在 Kindle 裝置或多部裝置的 Kindle 應用程式上檢視
已更新: 2016 年 12 月 6 日
文件 ID:116101

無偏見用語

本產品的文件集力求使用無偏見用語。針對本文件集的目的,無偏見係定義為未根據年齡、身心障礙、性別、種族身分、民族身分、性別傾向、社會經濟地位及交織性表示歧視的用語。由於本產品軟體使用者介面中硬式編碼的語言、根據 RFP 文件使用的語言,或引用第三方產品的語言,因此本文件中可能會出現例外狀況。深入瞭解思科如何使用包容性用語。

關於此翻譯

思科已使用電腦和人工技術翻譯本文件,讓全世界的使用者能夠以自己的語言理解支援內容。請注意,即使是最佳機器翻譯,也不如專業譯者翻譯的內容準確。Cisco Systems, Inc. 對這些翻譯的準確度概不負責,並建議一律查看原始英文文件(提供連結)。

簡介

本檔案將說明受支援的存取控制清單(ACL)結構,此結構控制對交換器的telnet存取許可權。此限制同樣適用於SSH,不過以下特定示例僅適用於telnet。

問題

使用者想要允許僅從網路中的一個主機telnet至交換器。例如,只有主機10.0.0.2才能telnet到交換器IP 10.0.0.1。

                10.0.0.2 10.0.0.1
             +-------------+ +--------------+
             |主機     |                      |交換機     |
             | """"""""Gi0/1"|              |
             +----+--------+ +-----+--------+

以下範例顯示在Cisco IOS®版本上無法運作的組態,該版本未修正思科錯誤ID CSCuw89081

ip access-list extended 100
 permit tcp host 10.0.0.2 host 10.0.0.1 eq telnet 
 
line vty 0 4
access-class 100 in
transport input telnet
login
password cisco

對於具有思科錯誤ID CSCuw89081修復程式的Cisco IOS版本,已新增在特定目標IP地址上匹配的功能,並且不會出現此問題。

解決方案

根據設計,access-class僅匹配訪問清單的源IP地址。Access-class允許訪問整個路由器,而不是僅訪問特定路由器地址上的路由器。此行為已透過思科錯誤ID CSCuw89081變更。

以下是適用於未修正思科錯誤ID CSCuw89081的Cisco IOS的組態範例。

ip access-list extended 100
 permit tcp host 10.0.0.2 any eq telnet

line vty 0 4
access-class 100 in
transport input telnet
login
password cisco
TAC Authored

由思科工程師貢獻

  • Sandeep Singh
    Cisco TAC Engineer
  • Shashank Singh
    Cisco TAC Engineer

這份文件是否有所幫助?

Feedback意見

讓思科協助您