H3C交换机使用ACL限制非法用户通过Telnet登录控制台
H3C交换机使⽤ACL限制⾮法⽤户通过Telnet登录控制台
前景提⽰
为了⽅便管理,企业交换机都会设置Telnet远程登录,以此来通过合法⽤户和密码登录交换机控制台,进⾏各类配置命令操作。交换机开启了Telnet功能后,默认所有ping通⽹关地址的PC均可以通过Telnet登录交换机,这是我们不希望看到的,所以我们使⽤ACL访问控制列表对允许的IP地址进⾏授权。
实验步骤一杯奶茶的配文
我们从⽆到有,设置Telent.
客户端合法IT管理者IP地址是,192.168.251.80/192.168.251.82
Telnet的⽹关是:192.168.252.253
<H3C>system-view //进⼊系统视图
System View: return to User View with Ctrl+Z.徐若瑄 结婚
[H3C]undo  info-center enable //关闭消息提⽰
Information center is disabled.
[H3C]telnet server enable //开启Telnet服务,不开启⽆法使⽤
[H3C]user-interface vty 0 4 //进⼊VTY接⼝,同时配置0-4等5个⽤户
工作座右铭大全[H3C-line-vty0-4]authentication-mode scheme //认证模式是Scheme
[H3C-line-vty0-4]user-role level-15 //设置⽤户⾓⾊等级是15级最⾼
[H3C-line-vty0-4]protocol inbound telnet//⽤来指定VTY⽤户界⾯所⽀持的协议是Telnet
[H3C-line-vty0-4]quit//退出
申请支付宝账号[H3C]local-user admin //新增⽤户admin
New local user added.
[H3C-luser-manage-admin]password simple Admin@h3c123 //设置此⽤户的密码是Admin@h3c123
[H3C-luser-manage-admin]service-type telnet //该账户服务类型是Telnet
[H3C-luser-manage-admin]quit//退出
[H3C]acl number 3004 //创建⾼级ACL ,序号是3004(⾼级ACL,3000-3999)
[H3C-acl-ipv4-adv-3004] rule 0 permit ip source 192.168.251.80 0 destination 192.168.252.253 0
//允许,192.168.251.80指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004] rule 5 permit ip source 192.168.251.82 0 destination 192.168.252.253 0
//允许,192.168.251.82指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004]rule deny ip//拒绝所有IP地址登录
[H3C]telnet server acl 3004 //调⽤ACL
实验总结
第⼀点:我上⾯⽤的是⾼级ACL,序号是3000-3999
为什么⽤⾼级ACL呢?⼀般核⼼交换机会有多个⽹段,只要可以ping的通交换机的⽹关,就可以通过
它来登录交换机。⽐如此次实验我的⽹关地址是192.168.252.253,但是实际上还有其他⽹关,⽐如,192.168.230.254。如果不使⽤⾼级ACL,那么授权的80/82可以访问交换机上所有⽹关地址,做了此设置,授权IP就只能登陆指定的192.168.251.252⽹关了。
(我个⼈⽐较喜欢这种⽅式,哈哈哈)
和领导出差注意事项附上:基本ACL(2000-2999)规则(⼤多⽤这个,哈哈哈)
[H3C]acl number 2000
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.80 0
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.82 0
[H3C-acl-ipv4-basic-2000]rule deny
[H3C-acl-ipv4-basic-2000]quit
专升本要读几年第⼆点:IP地址后⾯的掩码,是通配符掩码,不是⼦⽹掩码,更不是反掩码。全0代表唯⼀的地址,255则代表⼀整个⽹段,具体可参考我其他⽂章。
⽐如:192.168.1.1 0代表的是指定192.168.1.1这个唯⼀的IP地址
⽽192.168.1.0  0.0.0.255则代表192.168.1.0整个⽹段,即192.168.1.1-192.168.1.255
⼩提⽰:OSPF协议⾥,在⾻⼲区域宣告⽹段的时候,也是⽤的通配符掩码。
第三点:H3C交换机和HUAWEI交换机调⽤ACL⽅式稍有不同。
H3C交换机是
[H3C]telnet server acl 3004 //调⽤ACL,没有inbound
HUAWEI交换机则是
[Huawei-ui-vty0-4]acl 2000 inbound //注意是VTY,接⼝下调⽤

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。