今天上午,南通的路由器被国际友人从四面八方过来登死了。。。
我们现在就来做一些配置,规避这样的问题。
当有明确IP时或针对特定地址限制服务访问时,可以在
相应得接口下挂一个in方向的access-group 。
当IP不那么明确,谁都有可能来的时候,access-group就不那么
好用了。可以利用登陆禁止(又称安静模式)来禁止这些
没事就乱登陆的人。
conf t
login block-for 300 attempts 2 within 20
#在20秒内,如果有2次错误登陆,就让设备禁止所有人登陆300秒
#时间和次数需要在后续通过login failure来调整,已达到最好效果。
默认情况是:所有人~ ,设备会自动调用一个 隐藏 的ACL
sl_def_acl (可通过show access-l sl_def_acl查看)
一旦进入了这种模式,只有console可以登陆。
这是一个全杀的方法,正常的管理登陆也会被误伤,所以还得
开一个小的白名单,允许正常管理登陆。
access-l 111 per ip 10.21.0.0 0.0.0.255 any
login quiet-mode access-class 111
使用acl 111替换掉默认的sl_def_acl,保证既是在设备进入安静模式
时,正常的管理者仍然可以登陆设备。
通过show login failure 可以看到尝试登陆人的IP地址:
Total fai