10.12以降のバージョンでは、CXスイッチへのssh接続に対するアクセス制限を適用する機能が実装されております。
この機能はallow-listと呼ばれる項目で設定され、適用するallow-listは全てのvrfに対して適用されます。
※以前までのバージョンでは、通常のACLにsshの許可設定を混在させて、対象のvrf毎にACL適用をしなければなりませんでした。
allow-listに設定可能なエントリーの最大数は20となります。
許可リストとして設定を行うのですが、拒否リストは設定できない点に注意して頂ければと思います。
設定の流れは以下の通りです。
CX-Switch(config)# ssh server allow-list
CX-Switch(config-ssh-al)#
CX-Switch(config-ssh-al)# ip 172.16.20.2/32
CX-Switch(config-ssh-al)# ip 192.168.10.0/24
CX-Switch(config-ssh-al)# ip 192.168.20.2/32
CX-Switch(config-ssh-al)# enable
20エントリーを超えると、以下のようなエラーが表示され設定できません。
CX-Switch(config-ssh-al)# ip 192.168.30.28/32
Maximum entries (20) already configured for SSH allow-list.
確認コマンドは以下の通りです。
CX-Switch# show ssh server allow-list
SSH server allow-list:
Status: Enabled
Allowed host IPs:
172.16.20.2/32
192.168.10.0/24
192.168.20.2/32
CX-Switch# sh ssh server all-vrfs
SSH server configuration on VRF default :
IP Version : IPv4 and IPv6 SSH Version : 2.0
TCP Port : 22 Grace Timeout (sec) : 60
Max Auth Attempts : 6 Server Status : running
Allow-list: enabled
172.16.20.2/32, 192.168.10.0/24, 192.168.20.2/32
設定されたallow-list以外からsshでの接続があった場合には以下のようなコンソールログが表示されますので、設定後の確認用としてご参考にして頂ければと思います。
2024-04-23T14:33:02.869493+0900 log-proxyd[837] <ERR> Event|5222|LOG_ERR|CDTR|1|SSH session from 172.31.130.11 for user admin denied by SSH server allow-list.