H3C配置對Telnet/SSH 用戶的ACL 控制

來源:本站原創 CISCO 超過10,019 views圍觀 9條評論

配置對Telnet/SSH 用戶的ACL 控制通過配置對telnet 或ssh 用戶的acl 控制,可以在登錄用戶進行口令認證之前將一些惡意或者不合法的連接請求過濾掉,保證設備的安全。
4.2.1 配置準備
用戶對telnet 或ssh 方式登錄交換機進行了正確配置。
4.2.2 配置過程

缺省情況下,不對用戶界面的呼入(inbound)/ 呼出(outbound)進行限制。
telnet 或ssh 用戶的acl 控制功能只能引用基于數字標識的訪問控制列表。
telnet 或ssh 用戶引用基本訪問控制列表或高級訪問控制列表時,基于源ip或目的ip 地址對呼入/呼出進行限制。因此引用基本訪問控制列表和高級訪問控制列表子規則時,只有源ip 及其掩碼、目的ip 及其掩碼、time-range 參數有效。類似的,telnet 和ssh 用戶引用二層訪問控制列表時,基于源mac 地址對呼入/呼出進行限制。因此引用二層訪問控制列表子規則時,只有源mac 及其掩碼、time-range 參數有效。
基于二層訪問控制列表對telnet、ssh 用戶進行控制時,只能限制呼入。
對由于受acl 限制而被拒絕登錄的用戶,會記錄一次訪問失敗日志信息。日志內容包括該用戶的ip 地址、登錄方式、登入用戶界面索引值和登錄失敗原因。
4.2.3 二層acl 控制配置舉例
1. 組網需求
僅允許源mac 地址為00e0-fc01-0101 和00e0-fc01-0303 的telnet 用戶訪問交換機。
2. 組網圖

3. 配置步驟
# 定義二層訪問控制列表。
[h3c] system-view
system view: return to user view with ctrl+z.
[h3c] acl number 4000 match-order config
# 定義子規則。
[h3c-acl-link-4000] rule 1 permit ingress 00e0-fc01-0101 0000-0000-0000 [h3c-acl-link-4000] rule 2 permit ingress 00e0-fc01-0303 0000-0000-0000 [h3c-acl-link-4000] rule 3 deny ingress any
[h3c-acl-link-4000] rule 3 deny ingress any
[h3c-acl-link-4000] quit
# 進入用戶界面視圖。
[h3c] user-interface vty 0 4
# 引用二層訪問控制列表,對用戶界面的呼入進行限制。
[h3c-user-interface-vty0-4] acl 4000 inbound
4.2.4 基本acl 控制配置舉例
1. 組網需求
僅允許來自10.110.100.52 和10.110.100.46 的telnet 用戶訪問交換機。
2. 組網圖

3. 配置步驟
# 定義基本訪問控制列表。
[h3c] system-view
system view: return to user view with ctrl+z.
[h3c] acl number 2000 match-order config
# 定義子規則。
[h3c-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[h3c-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[h3c-acl-basic-2000] rule 3 deny source any
[h3c-acl-basic-2000] quit
# 進入用戶界面視圖。
[h3c] user-interface vty 0 4
# 引用訪問控制列表。
[h3c-user-interface-vty0-4] acl 2000 inbound

文章出自:CCIE那點事 http://www.qdxgqk.live/ 版權所有。本站文章除注明出處外,皆為作者原創文章,可自由引用,但請注明來源。 禁止全文轉載。
本文鏈接:http://www.qdxgqk.live/?p=341轉載請注明轉自CCIE那點事
如果喜歡:點此訂閱本站
  • 相關文章
  • 為您推薦
  • 各種觀點
? H3C配置對Telnet/SSH 用戶的ACL 控制:目前有9 條留言
發表評論

您必須 [ 登錄 ] 才能發表留言!

?
?
萌宠夺宝游戏