H3C 交换机使用ACL限制非法用户通过Telnet登录控制台
前景提示
为了方便管理,企业交换机都会设置Telnet远程登录,以此来通过合法用户和密码登录交换机控制台,进行各类配置命令操作。交换机开启了Telnet功能后,默认所有ping通网关地址的PC均可以通过Telnet登录交换机,这是我们不希望看到的,所以我们使用ACL访问控制列表对允许的IP地址进行授权。
实验步骤
我们从无到有,设置Telent.
客户端合法IT管理者IP地址是,192.168.251.80/192.168.251.82
Telnet的网关是:192.168.252.253
<H3C>system-view //进入系统视图
System View: return to User View with Ctrl+Z.
[H3C]undo info-center enable //关闭消息提示
Information center is disabled.
[H3C]telnet server enable //开启Telnet服务,不开启无法使用
[H3C]user-interface vty 0 4 //进入VTY接口,同时配置0-4等5个用户
[H3C-line-vty0-4]authentication-mode scheme //认证模式是Scheme
[H3C-line-vty0-4]user-role level-15 //设置用户角色等级是15级最高
[H3C-line-vty0-4]protocol inbound telnet//用来指定VTY用户界面所支持的协议是Telnet
[H3C-line-vty0-4]quit//退出[H3C]local-user admin //新增用户admin
New local user added.
[H3C-luser-manage-admin]password simple Admin@h3c123 //设置此用户的密码是Admin@h3c123
[H3C-luser-manage-admin]service-type telnet //该账户服务类型是Telnet
[H3C-luser-manage-admin]quit//退出[H3C]acl number 3004 //创建高级ACL ,序号是3004(高级ACL,3000-3999)
[H3C-acl-ipv4-adv-3004] rule 0 permit ip source 192.168.251.80 0 destination 192.168.252.253 0
//允许,192.168.251.80指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004] rule 5 permit ip source 192.168.251.82 0 destination 192.168.252.253 0
//允许,192.168.251.82指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004]rule deny ip//拒绝所有IP地址登录[H3C]telnet server acl 3004 //调用ACL
实验总结
第一点:我上面用的是高级ACL,序号是3000-3999
为什么用高级ACL呢?一般核心交换机会有多个网段,只要可以ping的通交换机的网关,就可以通过它来登录交换机。比如此次实验我的网关地址是192.168.252.253,但是实际上还有其他网关,比如,192.168.230.254。如果不使用高级ACL,那么授权的80/82可以访问交换机上所有网关地址,做了此设置,授权IP就只能登陆指定的192.168.251.252网关了。
(我个人比较喜欢这种方式,哈哈哈)
附上:基本ACL(2000-2999)规则(大多用这个,哈哈哈)
[H3C]acl number 2000
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.80 0
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.82 0
[H3C-acl-ipv4-basic-2000]rule deny
[H3C-acl-ipv4-basic-2000]quit
第二点:IP地址后面的掩码,是通配符掩码,不是子网掩码,更不是反掩码。全0代表唯一的地址,255则代表一整个网段,具体可参考我其他文章。
比如:192.168.1.1 0代表的是指定192.168.1.1这个唯一的IP地址
而192.168.1.0 0.0.0.255则代表192.168.1.0整个网段,即192.168.1.1-192.168.1.255
小提示:OSPF协议里,在骨干区域宣告网段的时候,也是用的通配符掩码。
第三点:H3C交换机和HUAWEI交换机调用ACL方式稍有不同。
H3C交换机是
[H3C]telnet server acl 3004 //调用ACL,没有inbound
HUAWEI交换机则是
[Huawei-ui-vty0-4]acl 2000 inbound //注意是VTY,接口下调用
H3C 交换机使用ACL限制非法用户通过Telnet登录控制台相关推荐
- 配置用户通过Telnet登录设备的身份认证(AAA本地认证)
背景信息 用户通过Telnet登录设备时,设备上必须配置验证方式,否则用户无法成功登录设备.设备支持不认证.密码认证和AAA认证三种用户界面的验证方式,其中AAA认证方式安全性最高. 采用AAA本地认 ...
- 【技术分享】配置用户通过Telnet登录设备的身份认证
实验拓扑 客户需求 如图所示,网络中部署了HWTACACS服务器,企业希望管理员通过Telnet登录设备来远程管理设备: 管理员输入正确的用户名和密码才能通过Telnet登录设备. 管理员通过Teln ...
- H3C交换机配置ACL禁止vlan间互访
1.先把基础工作做好,就是配置VLAN,配置Trunk,确定10个VLAN和相应的端口都正确.假设10个VLAN的地址分别是192.168.10.X,192.168.20.X......192.168 ...
- 《H3C交换机配置与管理完全手册》(第二版)前言和目录
史上最具人气.最受好评的网络设备图书领域"四大金刚"的全新升级版本再现江湖了,他们分别是:<Cisco交换机配置与管理完全手册>(第二版).<H3C交换机配置与管 ...
- 【网络】新华三H3C交换机 抓包|H3C交换机文档
目录 前言 H3C交换机抓包: H3C简单FTP上传和下载文件 流镜像配置命令 2.1.1 mirror-to cpu 2.1.2 mirror-to interface 相关命令 更多ACL例子 ...
- 限制计算机通讯端口mac绑定,h3c交换机ip和mac绑定配置教程
h3c交换机ip和mac绑定配置教程 首先登录交换机,进入管理状态System-View 第一种情况:1个端口只有一台电脑如何绑定 如:某台电脑的IP:10.119.100.1 MAC:00-1A-4 ...
- 华为交换机VRP用户界面配置及Telnet登录实验
以下是笔者视频课程中的一节PPT课程内容,介绍的是华为VRP系统用户界面主要配置方法,同时以一真实的Telnet远程登录实验向大家验证了这些配置的正确性.本节课程的视频链接如下(可免费观看):http ...
- H3C交换机典型访问控制列表(ACL)配置实例
H3C交换机典型访问控制列表(ACL)配置实例 2010-02-02 22:41:18 一 组网需求: 1.通过配置基本访问控制列表,实现在每天8:00-18:00时间段内对源IP为 ...
- h3c交换机配置远程管理_H3C 交换机设置本地用户和telnet远程登录配置 v7 版本...
H3C 交换机设置本地用户和telnet远程登录配置 v7版本 一.配置远程用户密码与本地用户一致 [H3C]telnet server en //开启Telnet 服务 [H3C]local-u ...
最新文章
- 怎样获取网站的域名_搭建一个网站,通常的6大步骤你知道吗?
- wait 和 sleep 的区别
- 2011年度十大杰出IT博客获奖感言
- mysql5.5.8编译安装_MySQL5.5.8源代码编译安装
- 没有与参数列表匹配的 重载函数 strcpy_s 实例_Zemax光学设计实例(84)Ftheta扫描平场透镜的设计...
- React系列---Babel
- 两大开源硬件之树莓派与a_开源硬件之美
- java中sort函数comparator的使用_Java Comparator comparingInt()用法及代码示例
- shell截取字符串的8种方法
- Google笔记本迈向烂笔头
- MQ 消息队列问题整理
- 你需要知道的物联网开放平台
- 中国猫道系统市场趋势报告、技术动态创新及市场预测
- SIFT(Scale Invariant Feature Transform) 算法小结及实验
- 金蝶K3案例实验实际成本后台配置
- php判断0点到7点凌晨时间段的方法
- 微信小程序定制开发的几大类型
- 前端基础——数组的方法
- C#实现自己的远程桌面控制工具
- 主流Wifi芯片简要介绍