華為交換機(jī)怎么通過(guò)ACL限制登錄telnet賬戶為指定IP地址?

發(fā)布時(shí)間：2024-02-06 11:27:04 作者：佚名

我要評(píng)論

公司組網(wǎng)會(huì)限制訪問(wèn)，只允許IT管理員的IP地址登錄到此交換機(jī)，該怎么acl只允許特定ip登錄呢？詳細(xì)請(qǐng)看下文介紹

公司可能為了安全考慮，只允許IT管理員的IP地址登錄到此交換機(jī)。那么該怎么實(shí)現(xiàn)呢？

ACL簡(jiǎn)介

訪問(wèn)控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報(bào)文匹配條件的判斷語(yǔ)句，這些條件可以是報(bào)文的源地址、目的地址、端口號(hào)等。

ACL本質(zhì)上是一種報(bào)文過(guò)濾器，規(guī)則是過(guò)濾器的濾芯。設(shè)備基于這些規(guī)則進(jìn)行報(bào)文匹配，可以過(guò)濾出特定的報(bào)文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來(lái)允許或阻止該報(bào)文通過(guò)。

基于ACL規(guī)則定義方式，可以將ACL分為基本ACL、高級(jí)ACL、二層ACL等種類。二層ACL根據(jù)以太網(wǎng)幀頭信息來(lái)定義規(guī)則，如源MAC地址、目的MAC地址、VLAN、二層協(xié)議類型等，對(duì)IPv4和IPv6報(bào)文進(jìn)行過(guò)濾。與基本ACL和高級(jí)ACL相比，這兩類ACL基于三層、四層信息進(jìn)行報(bào)文過(guò)濾，而二層ACL基于二層信息進(jìn)行報(bào)文過(guò)濾。例如，當(dāng)希望對(duì)不同MAC地址、不同VLAN的報(bào)文進(jìn)行過(guò)濾時(shí)，則可以配置二層ACL。

實(shí)現(xiàn)步驟

1：設(shè)置ACL

2：在虛擬接口telnet下調(diào)用基本ACL。

ACL可以這樣寫(xiě)。

#acl 2000//2000基本ACL，匹配源地址
#step 5
#rule permeit source 192.168.1.1 0 //只允許源地址是192.168.1.1的IP地址訪問(wèn)Telnet
#rule deny

//重要?。。?！這里補(bǔ)充一點(diǎn)，這里的IP地址后面的0是通配符掩碼，不是反掩碼。0代表，0.0.0.0，這代表全部匹配，意味著這是一個(gè)IP地址192.168.1.1，換成其他192.168.1.2就不可以了。假如讀者需要本實(shí)驗(yàn)1網(wǎng)段1-254 都可以訪問(wèn)，那么后面的通配符就要變成，0.0.0.255，0代表精確匹配，255代表模糊匹配。

具體原因可以參考本篇文章最后。ACL的應(yīng)用特別廣泛，好好學(xué)習(xí)天天向上哈哈哈哈哈~~~~

本次實(shí)驗(yàn)過(guò)程以及目的

通過(guò)，三個(gè)交換機(jī)各自設(shè)置了IP地址，并且在S2交換機(jī)上開(kāi)啟了Telnet，我們?cè)O(shè)置了ACL訪問(wèn)控制以后，在S1和S3上試圖Telnet S2的交換機(jī)，通過(guò)設(shè)置ACL，我們發(fā)現(xiàn)只有ACL允許的192.168.1.1（也就是S1交換機(jī)）可以登錄此交換機(jī)。

S1#

#
sysname S1
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.1 255.255.255.0
#

S2#

 
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]sysname S2
[S2]interface Vlanif 1	//配置IP地址
[S2-Vlanif1]ip address 192.168.1.254 24
[S2-Vlanif1]quit 
[S2]acl 2000 //ACL2000，是基本ACL的第一個(gè)，范圍是2000-2999
[S2-acl-basic-2000]rule permit source 192.168.1.1 0//允許192.168.1.1通過(guò)
[S2-acl-basic-2000]rule deny //拒絕其他所有IP
[S2-acl-basic-2000]quit //退出
[S2]user-interface vty 0 4 //配置Telnet，同時(shí)配置5個(gè)用戶
[S2-ui-vty0-4]authentication-mode aaa //認(rèn)證模式是AAA
[S2-ui-vty0-4]user privilege level 15	//用戶等級(jí)
[S2-ui-vty0-4]protocol inbound telnet 		
[S2-ui-vty0-4]acl 2000 inbound 	//應(yīng)用ACL
[S2-ui-vty0-4]quit 
[S2]aaa 	
[S2-aaa]local-user admin password cipher abc123456 privilege level 15//設(shè)置用戶名和密碼
[S2-aaa]local-user admin service-type telnet  //設(shè)置這個(gè)admin用戶用來(lái)Telnet

S3#

#
sysname S3
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.2 255.255.255.0
#

問(wèn)題來(lái)了，如果有2名IT管理員的話，該如何設(shè)置呢？

只要在ACL再增加一條即可，permit語(yǔ)句，記住Deny語(yǔ)句要寫(xiě)在最后噢！

總結(jié)一下：事實(shí)上ACL的應(yīng)用非常廣泛，比如可以用ACL3000 ，來(lái)實(shí)現(xiàn)公司打印機(jī)，考勤機(jī)，只允許管理員或者特定人群訪問(wèn)，就可以用這種方式，從而提高了數(shù)據(jù)安全性。

0.0.0.0 通配符是全0的時(shí)候，意味這這是一個(gè)固定的IP地址，是精確的，比如192.168.251.82.
0.0.0.255 通配符是這樣的時(shí)候，意味這是一個(gè)網(wǎng)段的地址，是整個(gè)網(wǎng)段，比如192.168.251.1-192.168.251.254 （192.168.251.0）
0.0.255.255通配符是這樣的時(shí)候，意味這網(wǎng)段地址匹配的是這樣的，192.168.0.0

題外話：

通配符掩碼作為ACL中重要的一部分，是路由器或者交換機(jī)在進(jìn)行訪問(wèn)控制時(shí)必不可少的重要部件，那么什么是通配符掩碼呢？

通配符掩碼：路由器使用通配符掩碼與原地址或者是目標(biāo)地址一起來(lái)分辨匹配的地址范圍，在訪問(wèn)控制列表中，將通配符掩碼中設(shè)置為1 的表示本位可以忽略ip地址中的對(duì)應(yīng)位，設(shè)置成0 的表示必須精確的匹配ip地址中的對(duì)應(yīng)位。

舉個(gè)例子，假如有這樣一條規(guī)則，12.0.0.0 反掩碼是8.0.0.1，那么它本身代表的IP地址是？

我們這樣來(lái)看：