el 07-08-2020 04:03 AM
Hola ,
Nos ha surgido la necesidad de dar acceso a unos compañeros a unos router de consola que tenemos montados.
La idea es de solo dar acceso a los asa y no a los asr ni demás hardware. La pregunta es, ¿ Donde debería de poner la acl in ?? en line con 0, o line 0/1/0 0/1/15, o line 0/2/0 0/2/5.....
Gracias.
equipo cisco ISR4221/K9
menu consoles text 104 Connect ASA-5585-PDI-1
menu consoles command 104 telnet 1.1.1.1 2004
menu consoles text 204 Clear ASA-5585-PDI-1
menu consoles command 204 clear line 4
menu consoles text 106 Connect ASR1K-PREPRO-1
menu consoles command 106 telnet 1.1.1.1 2006
menu consoles text 206 Clear ASR1K-PREPRO-1
menu consoles command 206 clear line 6
menu consoles text 107 Connect ASA-5585-ONM-1
menu consoles command 107 telnet 1.1.1.1 2007
menu consoles text 207 Clear ASA-5585-ONM-1
menu consoles command 207 clear line 7
menu consoles text 113 Connect JUN
menu consoles command 113 telnet 1.1.1.1 2013
menu consoles text 213 Clear JUN
menu consoles command 213 clear line 13
menu consoles text 116 Connect 3750-OOB-1
menu consoles command 116 telnet 1.1.1.1 2016
menu consoles text 216 Clear 3750-OOB-1
menu consoles command 216 clear line 16
menu consoles text 128 Connect FOR
menu consoles command 128 telnet 1.1.1.1 2028
menu consoles text 228 Clear FOR
menu consoles command 228 clear line 28
menu consoles text 129 Connect NEXUS-5K-1
menu consoles command 129 telnet 1.1.1.1 2029
menu consoles text 229 Clear NEXUS-5K-1
menu consoles command 229 clear line 29
menu consoles text 130 Connect MDS-9148S-1
menu consoles command 130 telnet 1.1.1.1 2030
menu consoles text 230 Clear MDS-9148S-1
menu consoles command 230 clear line 30
menu consoles text 132 Connect F5-1
menu consoles command 132 telnet 1.1.1.1 2032
menu consoles text 232 Clear F5-1
menu consoles command 232 clear line 32
menu consoles text 133 Connect ASR1K-PRO-1
menu consoles command 133 telnet 1.1.1.1 2033
menu consoles text 233 Clear ASR1K-PRO-1
menu consoles command 233 clear line 33
menu consoles text 134 Connect ASR9K-2
menu consoles command 134 telnet 1.1.1.1 2034
menu consoles text 234 Clear ASR9K-2
menu consoles command 234 clear line 34
menu consoles text 136 Connect UCS-1
menu consoles command 136 telnet 1.1.1.1 2036
menu consoles text 236 Clear UCS-1
menu consoles command 236 clear line 36
menu consoles text 138 Connect DELL-STORAGE-FOA-SUP-1
menu consoles command 138 telnet 1.1.1.1 2038
menu consoles text 238 Clear DELL-STORAGE-FOA-SUP-1
menu consoles command 238 clear line 38
menu consoles text 141 Connect CONSOLE-ROUTER-2
menu consoles command 141 telnet 1.1.1.1 2041
menu consoles text 241 Clear CONSOLE-ROUTER-2
menu consoles command 241 clear line 41
menu consoles text 0 EXIT
menu consoles command 0 menu-exit
menu consoles clear-screen
menu consoles default 0
menu consoles line-mode
line con 0
transport input none
stopbits 1
line aux 0
stopbits 1
line 0/1/0 0/1/15
transport input telnet
line 0/2/0 0/2/5
transport input telnet
line 0/2/6
transport input telnet
stopbits 1
speed 19200
line 0/2/7 0/2/11
transport input telnet
line 0/2/12
transport input telnet
stopbits 1
speed 115200
line 0/2/13 0/2/15
transport input telnet
line vty 0 4
transport input ssh
line vty 5 97
transport input ssh
07-08-2020 06:07 AM - editado 07-08-2020 06:14 AM
Hola
Si es de dar acceso remotamente al router terminal (console) server debe ser en las lineas VTY.
ip access-list standar PERMISOS
line vty 0 4
transport input ssh
access-class PERMISOS in
line vty 5 97
transport input ssh
access-class PERMISOS in
A traves de line con 0, solo es para acceso local, usando el cable de consola por ende no hay necesidad de colocar ACL.
Ahora bien, todo lo que aparece como: line 0/1/0 0/1/15, es relacionado modulo de terminal server. Creeria que no es necesario, a menos que debas dar acceso a los routers que te conectas por consola, nunca lo he trabajado pero prueba aplicando la config previa.
** No se te olvide agregar tu direccion IP o red en la ACL **
Saludos.
el 07-08-2020 10:57 PM
Hola,
tiene todo el sentido lo que comentas. Si es en line con tendría que poner acl en el equipo destino directamente y tendría que hacerlo en todos los equipos destino en local. Al final al hacer un telnet 1.1.1.1 xxxx entiendo que se debe de hacer en line 0/1/0 0/1/15. No obstante al no saber que vty usara para conectar a los asa y si siempre será el mismo, creo que complica aplicar el concepto de acl en line vty.
Voy a hacer pruebas a ver que sale.
Muchas gracias por la ayuda Julio.
En cuanto consiga algo, os cuento.
Saludos.
el 07-09-2020 08:39 AM
Hola,
Perfecto, quedo al pendiente, si se conectaran a los ASA, revisa tambien las lineas de SSH en los firewalls.
Saludos
el 07-09-2020 10:43 PM
Hola,
ayer comentando el tema con un compañero se le ocurrio una opción. Sería la de configurar un usuario local y un menu console a parte para ese usuario así solo podría acceder a ese único equipo, los asa.
Lo configurare el lunes 13 y os mostrare como quedaría la config final.
Gracias
Saludos.
Descubra y salve sus notas favoritas. Vuelva a encontrar las respuestas de los expertos, guías paso a paso, temas recientes y mucho más.
¿Es nuevo por aquí? Empiece con estos tips. Cómo usar la comunidad Guía para nuevos miembros
Navegue y encuentre contenido personalizado de la comunidad