华为交换机怎么通过ACL限制登录telnet账户为指定IP地址?
脚本之家
公司可能为了安全考虑,只允许IT管理员的IP地址登录到此交换机。那么该怎么实现呢?
ACL简介
访问控制列表ACL(Access Control List)是由一条或多条规则组成的集合。所谓规则,是指描述报文匹配条件的判断语句,这些条件可以是报文的源地址、目的地址、端口号等。
ACL本质上是一种报文过滤器,规则是过滤器的滤芯。设备基于这些规则进行报文匹配,可以过滤出特定的报文,并根据应用ACL的业务模块的处理策略来允许或阻止该报文通过。
基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。二层ACL根据以太网帧头信息来定义规则,如源MAC地址、目的MAC地址、VLAN、二层协议类型等,对IPv4和IPv6报文进行过滤。与基本ACL和高级ACL相比,这两类ACL基于三层、四层信息进行报文过滤,而二层ACL基于二层信息进行报文过滤。例如,当希望对不同MAC地址、不同VLAN的报文进行过滤时,则可以配置二层ACL。
实现步骤
1:设置ACL
2:在虚拟接口telnet下调用基本ACL。
ACL可以这样写。
#acl 2000//2000基本ACL,匹配源地址 #step 5 #rule permeit source 192.168.1.1 0 //只允许源地址是192.168.1.1的IP地址访问Telnet #rule deny
//重要!!!!这里补充一点,这里的IP地址后面的0是通配符掩码,不是反掩码。0代表,0.0.0.0,这代表全部匹配,意味着这是一个IP地址192.168.1.1,换成其他192.168.1.2就不可以了。假如读者需要本实验1网段1-254 都可以访问,那么后面的通配符就要变成,0.0.0.255,0代表精确匹配,255代表模糊匹配。
具体原因可以参考本篇文章最后。ACL的应用特别广泛,好好学习天天向上 哈哈哈哈哈~~~~
本次实验过程以及目的
通过,三个交换机各自设置了IP地址,并且在S2交换机上开启了Telnet,我们设置了ACL访问控制以后,在S1和S3上试图Telnet S2的交换机,通过设置ACL,我们发现只有ACL允许的192.168.1.1(也就是S1交换机)可以登录此交换机。
S1#
# sysname S1 # undo info-center enable # interface Vlanif1 ip address 192.168.1.1 255.255.255.0 #
S2#
<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]undo info-center enable Info: Information center is disabled. [Huawei]sysname S2 [S2]interface Vlanif 1 //配置IP地址 [S2-Vlanif1]ip address 192.168.1.254 24 [S2-Vlanif1]quit [S2]acl 2000 //ACL2000,是基本ACL的第一个,范围是2000-2999 [S2-acl-basic-2000]rule permit source 192.168.1.1 0//允许192.168.1.1通过 [S2-acl-basic-2000]rule deny //拒绝其他所有IP [S2-acl-basic-2000]quit //退出 [S2]user-interface vty 0 4 //配置Telnet,同时配置5个用户 [S2-ui-vty0-4]authentication-mode aaa //认证模式是AAA [S2-ui-vty0-4]user privilege level 15 //用户等级 [S2-ui-vty0-4]protocol inbound telnet [S2-ui-vty0-4]acl 2000 inbound //应用ACL [S2-ui-vty0-4]quit [S2]aaa [S2-aaa]local-user admin password cipher abc123456 privilege level 15//设置用户名和密码 [S2-aaa]local-user admin service-type telnet //设置这个admin用户用来Telnet
S3#
# sysname S3 # undo info-center enable # interface Vlanif1 ip address 192.168.1.2 255.255.255.0 #
问题来了,如果有2名IT管理员的话,该如何设置呢?
只要在ACL再增加一条即可,permit语句,记住Deny语句要写在最后噢!
总结一下:事实上ACL的应用非常广泛,比如可以用ACL3000 ,来实现公司打印机,考勤机,只允许管理员或者特定人群访问,就可以用这种方式,从而提高了数据安全性。
- 0.0.0.0 通配符是全0的时候,意味这这是一个固定的IP地址,是精确的,比如192.168.251.82.
- 0.0.0.255 通配符是这样的时候,意味这是一个网段的地址,是整个网段,比如192.168.251.1-192.168.251.254 (192.168.251.0)
- 0.0.255.255通配符是这样的时候,意味这网段地址匹配的是这样的,192.168.0.0
题外话:
通配符掩码作为ACL中重要的一部分,是路由器或者交换机在进行访问控制时必不可少的重要部件,那么什么是通配符掩码呢?
通配符掩码:路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围,在访问控制列表中,将通配符掩码中设置为1 的表示本位可以忽略ip地址中的对应位,设置成0 的表示必须精确的匹配ip地址中的对应位。
举个例子,假如有这样一条规则,12.0.0.0 反掩码是8.0.0.1,那么它本身代表的IP地址是?
我们这样来看:
- 12.0.0.1 换成二进制,为00001100.00000000.00000000.00000001
- 8.0.0.1换成二进制, 为00001000.00000000.00000000.00000001
也就是说,8.0.0.1这个通配符掩码,bit位为0位的,要和上面IP地址对应一致。
通俗一点就是说,通配符是0位的,上面的0或者1就不能变,也就是0.0.0.0为什么是一个精确的IP地址的原因。
例如:192.168.10.1 /0.0.0.0 即代表,这是精确的一个IP地址。
通配符是1位的,可以取值“0”或者“1”
那么本例这条规则代表的IP地址就出来了,
- 00000100.00000000.00000000.00000000 即:4.0.0.0
- 00001100.00000000.00000000.00000000 即:12.0.0.0
- 00000100.00000000.00000000.00000001 即:4.0.0.1
- 00001100.00000000.00000000.00000001 即:12.0.0.1
即,这条反掩码代表了这4个IP地址。
相关推荐: