日本語フォーラム

 View Only

[CX Switch] CXスイッチへのssh接続に対するアクセス制限

This thread has been viewed 9 times
  • 1.  [CX Switch] CXスイッチへのssh接続に対するアクセス制限

    Posted Apr 23, 2024 05:32 AM

    10.12以降のバージョンでは、CXスイッチへのssh接続に対するアクセス制限を適用する機能が実装されております。

    この機能はallow-listと呼ばれる項目で設定され、適用するallow-listは全てのvrfに対して適用されます。

    以前までのバージョンでは、通常のACLsshの許可設定を混在させて、対象のvrf毎にACL適用をしなければなりませんでした。

    allow-list設定可能なエントリーの最大数は20となります。

    許可リストとして設定を行うのですが、拒否リストは設定できない点注意して頂ければと思います。

    設定の流れは以下の通りです。


    CX-Switch(config)# ssh server allow-list

    CX-Switch(config-ssh-al)#

    CX-Switch(config-ssh-al)# ip 172.16.20.2/32

    CX-Switch(config-ssh-al)# ip 192.168.10.0/24

    CX-Switch(config-ssh-al)# ip 192.168.20.2/32

    CX-Switch(config-ssh-al)# enable

    20エントリーを超えると、以下のようなエラーが表示され設定できません。

    CX-Switch(config-ssh-al)# ip 192.168.30.28/32

    Maximum entries (20) already configured for SSH allow-list.



    確認コマンドは以下の通りです。


    CX-Switch# show ssh server allow-list


    SSH server allow-list:


    Status: Enabled


    Allowed host IPs:

    172.16.20.2/32

    192.168.10.0/24

    192.168.20.2/32


    CX-Switch#
    sh ssh server all-vrfs


    SSH server configuration on VRF default :


    IP Version : IPv4 and IPv6 SSH Version : 2.0

    TCP Port : 22 Grace Timeout (sec) : 60

    Max Auth Attempts : 6 Server Status : running


    Allow-list: enabled

    172.16.20.2/32, 192.168.10.0/24, 192.168.20.2/32


    設定されたallow-list以外からsshでの接続があった場合は以下のようなコンソールログが表示されますので、設定後の確認用としてご参考にして頂ければと思います。


    2024-04-23T14:33:02.869493+0900 log-proxyd[837] <ERR> Event|5222|LOG_ERR|CDTR|1|SSH session from 172.31.130.11 for user admin denied by SSH server allow-list.