华为交换机通过ACL限制登录telnet账户为指定IP地址

admin管理员组

文章数量:1337159

公司可能为了安全考虑，只允许IT管理员的IP地址登录到此交换机。那么该怎么实现呢？

实现步骤

1：设置ACL

2：在虚拟接口telnet下调用基本ACL。

ACL可以这样写。

#acl 2000//2000基本ACL，匹配源地址

#step 5

#rule permeit source 192.168.1.1 0 //只允许源地址是192.168.1.1的IP地址访问Telnet

#rule deny

//重要！！！！这里补充一点，这里的IP地址后面的0是通配符掩码，不是反掩码。0代表，0.0.0.0，这代表全部匹配，意味着这是一个IP地址192.168.1.1，换成其他192.168.1.2就不可以了。假如读者需要本实验1网段1-254 都可以访问，那么后面的通配符就要变成，0.0.0.255，0代表精确匹配，255代表模糊匹配。

具体原因可以参考本篇文章最后。

ACL的应用特别广泛，好好学习天天向上 哈哈哈哈哈~~~~

 

本次实验过程以及目的

通过，三个交换机各自设置了IP地址，并且在S2交换机上开启了Telnet，我们设置了ACL访问控制以后，在S1和S3上试图Telnet   S2的交换机，通过设置ACL，我们发现只有ACL允许的192.168.1.1（也就是S1交换机）可以登录此交换机。

S1#

#
sysname S1
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.1 255.255.255.0
#

S2#

<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]sysname S2

[S2]interface Vlanif 1	//配置IP地址
[S2-Vlanif1]ip address 192.168.1.254 24
[S2-Vlanif1]quit 

[S2]acl 2000 //ACL2000，是基本ACL的第一个，范围是2000-2999
[S2-acl-basic-2000]rule permit source 192.168.1.1 0//允许192.168.1.1通过
[S2-acl-basic-2000]rule deny //拒绝其他所有IP
[S2-acl-basic-2000]quit //退出
	
[S2]user-interface vty 0 4 //配置Telnet，同时配置5个用户
[S2-ui-vty0-4]authentication-mode aaa //认证模式是AAA
[S2-ui-vty0-4]user privilege level 15	//用户等级
[S2-ui-vty0-4]protocol inbound telnet 		
[S2-ui-vty0-4]acl 2000 inbound 	//应用ACL
[S2-ui-vty0-4]quit 

[S2]aaa 	
[S2-aaa]local-user admin password cipher abc123456 privilege level 15//设置用户名和密码
[S2-aaa]local-user admin service-type telnet  //设置这个admin用户用来Telnet

S3#

#
sysname S3
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.2 255.255.255.0
#

问题来了，如果有2名IT管理员的话，该如何设置呢？

只要在ACL再增加一条即可，permit语句，记住Deny语句要写在最后噢！

总结一下：事实上ACL的应用非常广泛，比如可以用ACL3000 ，来实现公司打印机，考勤机，只允许管理员或者特定人群访问，就可以用这种方式，从而提高了数据安全性。

0.0.0.0 通配符是全0的时候，意味这这是一个固定的IP地址，是精确的，比如192.168.251.82.

0.0.0.255 通配符是这样的时候，意味这是一个网段的地址，是整个网段，比如192.168.251.1-192.168.251.254 （192.168.251.0）

0.0.255.255通配符是这样的时候，意味这网段地址匹配的是这样的，192.168.0.0 

 

题外话：

通配符掩码作为ACL中重要的一部分，是路由器或者交换机在进行访问控制时必不可少的重要部件，那么什么是通配符掩码呢？
通配符掩码：路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围，在访问控制列表中，将通配符掩码中设置为1 的表示本位可以忽略ip地址中的对应位，设置成0 的表示必须精确的匹配ip地址中的对应位。

举个例子，假如有这样一条规则，12.0.0.0     反掩码是8.0.0.1，那么它本身代表的IP地址是？

我们这样来看：

12.0.0.1 换成二进制，为00001100.00000000.00000000.00000001

8.0.0.1换成二进制，   为00001000.00000000.00000000.00000001

也就是说，8.0.0.1这个通配符掩码，bit位为0位的，要和上面IP地址对应一致。

通俗一点就是说，通配符是0位的，上面的0或者1就不能变，也就是0.0.0.0为什么是一个精确的IP地址的原因。

例如：192.168.10.1 /0.0.0.0  即代表，这是精确的一个IP地址。

通配符是1位的，可以取值“0”或者“1”

那么本例这条规则代表的IP地址就出来了，

00000100.00000000.00000000.00000000 即：4.0.0.0

00001100.00000000.00000000.00000000 即：12.0.0.0

00000100.00000000.00000000.00000001 即：4.0.0.1

00001100.00000000.00000000.00000001 即：12.0.0.1

即，这条反掩码代表了这4个IP地址。

路过的大神如果发现错误，愿意指点小弟，小弟感激不尽。评论区见
 

 

本文标签： 华为交换机账户地址telnet