华为S93交换机Telnet失败案例

原创
2017/09/27 14:14
阅读数 21

对于一个网管来说,远程不了交换机就好像丢了饭碗,毫无安全感。 早些时候,有一朋友(女汉子/女攻城狮)找我聊天,说她网内的几台HW S93突然远程不了。我第一时间反应是不是设备挂了,经过她检查:1,设备上的网关地址能通。2,设备能够console进去。 由此可以判断设备本身是没有问题。同时我也在我这边telnet,发现可以telnet上去,于是开玩笑说对方忽悠我。对方也是一脸茫然,为何刚刚不能远程,我一试就可以了。发现能正常远程之后,也没有再深究。

过了一两个小时候后,对方反馈问题复现了,这回我也远程不上去,但目标IP可达。确认问题之后,要对方接console,远程协助。 排查步骤如下: 1,确认目标网管IP是否可达。(可达) 2,检查VTY下面的ACL,发现有个inbound方向的ACL,destination ip是该交换机的网管ip。并没有限制source ip。 3,检查telnet server,发现并没有做限制。 4,检查网管IP对应虚拟接口,发现并无策略限制。 5,多次检查VTY接口,发现已经被恶意沾满。且不定时,所以之前我能远程登陆该设备。

解决办法: 1,增加VTY接口,user-interface vty 16 20。(只能临时解决问题,治标不治本) 2,在VTY下面调用ACL,做白名单,只允许对应的source ip。 3,在telnet server下面调用ACL,做白名单,deny掉恶意扫描的ip。

由睿江云人员提供,想了解更多,请登陆www.eflycloud.com

展开阅读全文
打赏
0
0 收藏
分享
加载中
更多评论
打赏
0 评论
0 收藏
0
分享
返回顶部
顶部