H3C 交换机使用ACL限制非法用户通过Telnet登录控制台 |
您所在的位置:网站首页 › h3c交换机如何设置telnet › H3C 交换机使用ACL限制非法用户通过Telnet登录控制台 |
前景提示
为了方便管理,企业交换机都会设置Telnet远程登录,以此来通过合法用户和密码登录交换机控制台,进行各类配置命令操作。交换机开启了Telnet功能后,默认所有ping通网关地址的PC均可以通过Telnet登录交换机,这是我们不希望看到的,所以我们使用ACL访问控制列表对允许的IP地址进行授权。 实验步骤我们从无到有,设置Telent. 客户端合法IT管理者IP地址是,192.168.251.80/192.168.251.82 Telnet的网关是:192.168.252.253 system-view //进入系统视图 System View: return to User View with Ctrl+Z. [H3C]undo info-center enable //关闭消息提示 Information center is disabled. [H3C]telnet server enable //开启Telnet服务,不开启无法使用 [H3C]user-interface vty 0 4 //进入VTY接口,同时配置0-4等5个用户 [H3C-line-vty0-4]authentication-mode scheme //认证模式是Scheme [H3C-line-vty0-4]user-role level-15 //设置用户角色等级是15级最高 [H3C-line-vty0-4]protocol inbound telnet//用来指定VTY用户界面所支持的协议是Telnet [H3C-line-vty0-4]quit//退出 [H3C]local-user admin //新增用户admin New local user added. [H3C-luser-manage-admin]password simple Admin@h3c123 //设置此用户的密码是Admin@h3c123 [H3C-luser-manage-admin]service-type telnet //该账户服务类型是Telnet [H3C-luser-manage-admin]quit//退出 [H3C]acl number 3004 //创建高级ACL ,序号是3004(高级ACL,3000-3999) [H3C-acl-ipv4-adv-3004] rule 0 permit ip source 192.168.251.80 0 destination 192.168.252.253 0 //允许,192.168.251.80指定地址访问指定地址192.168.252.253 [H3C-acl-ipv4-adv-3004] rule 5 permit ip source 192.168.251.82 0 destination 192.168.252.253 0 //允许,192.168.251.82指定地址访问指定地址192.168.252.253 [H3C-acl-ipv4-adv-3004]rule deny ip//拒绝所有IP地址登录 [H3C]telnet server acl 3004 //调用ACL 实验总结第一点:我上面用的是高级ACL,序号是3000-3999 为什么用高级ACL呢?一般核心交换机会有多个网段,只要可以ping的通交换机的网关,就可以通过它来登录交换机。比如此次实验我的网关地址是192.168.252.253,但是实际上还有其他网关,比如,192.168.230.254。如果不使用高级ACL,那么授权的80/82可以访问交换机上所有网关地址,做了此设置,授权IP就只能登陆指定的192.168.251.252网关了。 (我个人比较喜欢这种方式,哈哈哈) 附上:基本ACL(2000-2999)规则(大多用这个,哈哈哈) [H3C]acl number 2000 [H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.80 0 [H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.82 0 [H3C-acl-ipv4-basic-2000]rule deny [H3C-acl-ipv4-basic-2000]quit第二点:IP地址后面的掩码,是通配符掩码,不是子网掩码,更不是反掩码。全0代表唯一的地址,255则代表一整个网段,具体可参考我其他文章。 比如:192.168.1.1 0代表的是指定192.168.1.1这个唯一的IP地址 而192.168.1.0 0.0.0.255则代表192.168.1.0整个网段,即192.168.1.1-192.168.1.255 小提示:OSPF协议里,在骨干区域宣告网段的时候,也是用的通配符掩码。 第三点:H3C交换机和HUAWEI交换机调用ACL方式稍有不同。 H3C交换机是 [H3C]telnet server acl 3004 //调用ACL,没有inboundHUAWEI交换机则是 [Huawei-ui-vty0-4]acl 2000 inbound //注意是VTY,接口下调用
|
今日新闻 |
点击排行 |
|
推荐新闻 |
图片新闻 |
|
专题文章 |
CopyRight 2018-2019 实验室设备网 版权所有 win10的实时保护怎么永久关闭 |