华为交换机通过ACL限制登录telnet账户为指定IP地址
公司可能为了安全考虑,只允许IT管理员的IP地址登录到此交换机。那么该怎么实现呢?
实现步骤
1:设置ACL
2:在虚拟接口telnet下调用基本ACL。
ACL可以这样写。
#acl 2000//2000基本ACL,匹配源地址#step 5#rule permeit source 192.168.1.1 0 //只允许源地址是192.168.1.1的IP地址访问Telnet#rule deny
//重要!!!!这里补充一点,这里的IP地址后面的0是通配符掩码,不是反掩码。0代表,0.0.0.0,这代表全部匹配,意味着这是一个IP地址192.168.1.1,换成其他192.168.1.2就不可以了。假如读者需要本实验1网段1-254 都可以访问,那么后面的通配符就要变成,0.0.0.255,0代表精确匹配,255代表模糊匹配。
具体原因可以参考本篇文章最后。
ACL的应用特别广泛,好好学习天天向上 哈哈哈哈哈~~~~
本次实验过程以及目的
通过,三个交换机各自设置了IP地址,并且在S2交换机上开启了Telnet,我们设置了ACL访问控制以后,在S1和S3上试图Telnet S2的交换机,通过设置ACL,我们发现只有ACL允许的192.168.1.1(也就是S1交换机)可以登录此交换机。
S1#
#
sysname S1
#
undo info-center enable
#
interface Vlanif1ip address 192.168.1.1 255.255.255.0
#
S2#
<Huawei>system-view
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable
Info: Information center is disabled.
[Huawei]sysname S2[S2]interface Vlanif 1 //配置IP地址
[S2-Vlanif1]ip address 192.168.1.254 24
[S2-Vlanif1]quit [S2]acl 2000 //ACL2000,是基本ACL的第一个,范围是2000-2999
[S2-acl-basic-2000]rule permit source 192.168.1.1 0//允许192.168.1.1通过
[S2-acl-basic-2000]rule deny //拒绝其他所有IP
[S2-acl-basic-2000]quit //退出[S2]user-interface vty 0 4 //配置Telnet,同时配置5个用户
[S2-ui-vty0-4]authentication-mode aaa //认证模式是AAA
[S2-ui-vty0-4]user privilege level 15 //用户等级
[S2-ui-vty0-4]protocol inbound telnet
[S2-ui-vty0-4]acl 2000 inbound //应用ACL
[S2-ui-vty0-4]quit [S2]aaa
[S2-aaa]local-user admin password cipher abc123456 privilege level 15//设置用户名和密码
[S2-aaa]local-user admin service-type telnet //设置这个admin用户用来Telnet
S3#
#
sysname S3
#
undo info-center enable
#
interface Vlanif1ip address 192.168.1.2 255.255.255.0
#
问题来了,如果有2名IT管理员的话,该如何设置呢?
只要在ACL再增加一条即可,permit语句,记住Deny语句要写在最后噢!
总结一下:事实上ACL的应用非常广泛,比如可以用ACL3000 ,来实现公司打印机,考勤机,只允许管理员或者特定人群访问,就可以用这种方式,从而提高了数据安全性。
0.0.0.0 通配符是全0的时候,意味这这是一个固定的IP地址,是精确的,比如192.168.251.82.
0.0.0.255 通配符是这样的时候,意味这是一个网段的地址,是整个网段,比如192.168.251.1-192.168.251.254 (192.168.251.0)
0.0.255.255通配符是这样的时候,意味这网段地址匹配的是这样的,192.168.0.0
题外话:
通配符掩码作为ACL中重要的一部分,是路由器或者交换机在进行访问控制时必不可少的重要部件,那么什么是通配符掩码呢?
通配符掩码:路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围,在访问控制列表中,将通配符掩码中设置为1 的表示本位可以忽略ip地址中的对应位,设置成0 的表示必须精确的匹配ip地址中的对应位。
举个例子,假如有这样一条规则,12.0.0.0 反掩码是8.0.0.1,那么它本身代表的IP地址是?
我们这样来看:
12.0.0.1 换成二进制,为00001100.00000000.00000000.00000001
8.0.0.1换成二进制, 为00001000.00000000.00000000.00000001
也就是说,8.0.0.1这个通配符掩码,bit位为0位的,要和上面IP地址对应一致。
通俗一点就是说,通配符是0位的,上面的0或者1就不能变,也就是0.0.0.0为什么是一个精确的IP地址的原因。
例如:192.168.10.1 /0.0.0.0 即代表,这是精确的一个IP地址。
通配符是1位的,可以取值“0”或者“1”
那么本例这条规则代表的IP地址就出来了,
00000100.00000000.00000000.00000000 即:4.0.0.0
00001100.00000000.00000000.00000000 即:12.0.0.0
00000100.00000000.00000000.00000001 即:4.0.0.1
00001100.00000000.00000000.00000001 即:12.0.0.1
即,这条反掩码代表了这4个IP地址。
路过的大神如果发现错误,愿意指点小弟,小弟感激不尽。评论区见
华为交换机通过ACL限制登录telnet账户为指定IP地址相关推荐
- 华为交换机如何配置ssh登录远程管理交换机
华为交换机如何配置ssh登录远程管理交换机 如图,配置华为交换机ssh远程登录,先配置交换机的管理地址和vlan,此处为vlan10 ,把接口GE0/0/1划入vlan10,管理地址为192.168. ...
- MySQL基础|设置登录用户权限,访问ip地址---防止数据库误删,详细版
对于公司的开发团队来说,需要协同维护同一个数据表,但是要防止新人因为代码不熟悉或者什么其他原因,把整个数据表给删除掉. 毕竟对于公司来说,一个程序是可以复刻的,但是极具商业价值的数据表却是长时间才能积 ...
- telnet: connect to address IP地址: No route to host
Trying XX.XX.XX.XX- telnet: connect to address IP地址: No route to host telnet: Unable to connect to r ...
- 华为交换机VRP用户界面配置及Telnet登录实验
以下是笔者视频课程中的一节PPT课程内容,介绍的是华为VRP系统用户界面主要配置方法,同时以一真实的Telnet远程登录实验向大家验证了这些配置的正确性.本节课程的视频链接如下(可免费观看):http ...
- 华为交换机S5700设置远程ssh telnet登录
AAA是指:authentication(认证).authorization(授权).accounting(计费)的简称,是网络安全的一种管理机制:Authentication是本地认证/授权,aut ...
- 华为交换机配置ACL
一.创建ACL acl 3050 rule 5 deny tcp source 10.1.0.100 0 destination 192.168.40.15 0 destination-port e ...
- mysql用户ip登录失败怎么办_MySQL使用IP地址登录 ERROR 1045 (28000) Access denied for use...
MySQL使用IP地址登录 ERROR 1045 (28000) Access denied for use MySQL使用IP地址登录 ERROR 1045 (28000): Access deni ...
- Linux上使用telnet连接本机IP地址端口
场景 Linux开启了iptables!!! 开启本机TCP80端口服务.Linux本机IP地址是192.168.204.129.本机telnet连接本机的TCP80端口. 目的 telnet 192 ...
- 指定ip地址和端口号登录mysql数据库_防火墙规则,指定ip访问mysql数据库3306端口...
防火墙规则,指定ip访问mysql数据库3306端口 2019年12月08日 阅读数:6 这篇文章主要向大家介绍防火墙规则,指定ip访问mysql数据库3306端口,主要内容包括基础应用.实用技巧.原 ...
最新文章
- Mybatis-Plus实战中的几个条件构造器Wrapper用法
- linux命令less
- Method Overloading
- git 怎么拉取线上代码到本地进行合并_android studio如何使用git提交、拉取、合并代码的操作...
- 性能测试之实现接口关联的两种方式:正则表达式提取器和json提取器
- [20170816]Join Elimination Bug.txt
- 创建一个二维数组,以4行4列左对齐的方式将数组输出
- [转载] Python从字符串中删除字符
- 点击文本或按钮实现复制
- jQuery插件的使用
- 《幸福来敲门》观后感
- Docker:镜像加速器
- cnpm : 无法加载文件 C:\Users\小印丶\AppData\Roaming\npm\cnpm.ps1,因为在此系统上禁止运行脚本。
- Linux云服务器基础学习
- 监控系统服务器存储,监控系统中存储服务器的选择
- QQ收藏支持HTML,手机qq收藏夹的内容怎么复制
- Python得到前面12个月的数据
- 转载_利用虚拟机VMWARE安装并配置Debian Linux系统的总结
- 【观察】“种树植心”:不止于眼下,更关乎未来
- 极品,git简介,安装,方法
热门文章
- 初识递归,使用递归方法求一个数组中的最大值
- Ubuntu安装搜狗输入法[解决无法输入的问题在文末]
- 最新if,elseif,else最清楚用法解释
- 海洋科学导论ppt_利用开放数据科学保护世界海洋
- 32位visual studio中添加x64 ActiveX控件方法
- python中nrows_sheet.nrows有一个错误的值 – python excel文件
- CAD 样板图形文件路径
- 一生要做的五十件事(三)
- 计算机系给未来的自己写信,给未来的自己所写的一封信
- 数据中心运维节能工作的基本原则