李萧明/blog/item/d9177a608e2e1642ebf8f833.html
配置对Telnet/SSH 用户的ACL 控制
通过配置对telnet 或ssh 用户的acl 控制,可以在登录用户进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。
4.2.1 配置准备
用户对telnet 或ssh 方式登录交换机进行了正确配置。
4.2.2 配置过程
缺省情况下,不对用户界面的呼入(inbound)/ 呼出(outbound)进行限制。
telnet 或ssh 用户的acl 控制功能只能引用基于数字标识的访问控制列表。
telnet 或ssh 用户引用基本访问控制列表或高级访问控制列表时,基于源ip或目的ip 地址对呼入/呼出进行限制。因此引用基本访问控制列表和高级访问控制列表子规则时,只有源ip 及其掩码、目的ip 及其掩码、time-range 参数有效。类似的,telnet 和ssh 用户引用二层访问控制列表时,基于源mac 地址对呼入/呼出进行限制。因此引用二层访问控制列表子规则时,只有源mac 及其掩码、time-range 参数有效。
基于二层访问控制列表对telnet、ssh 用户进行控制时,只能限制呼入。
对由于受acl 限制而被拒绝登录的用户,会记录一次访问失败日志信息。日志内容包括该用户的ip 地址、登录方式、登入用户界面索引值和登录失败原因。
4.2.3 二层acl 控制配置举例
1. 组网需求
仅允许源mac 地址为00e0-fc01-0101 和00e0-fc01-0303 的telnet 用户访问交换机。
2. 组网图
3. 配置步骤
# 定义二层访问控制列表。
[h3c] system-view
system view: return to user view with ctrl+z.
[h3c] acl number 4000 match-order config
# 定义子规则。
[h3c-acl-link-4000] rule 1 permit ingress 00e0-fc01-0101 0000-0000-0000 [h3c-acl-link-4000] rule 2 permit ingress 00e0-fc01-0303 0000-0000-0000 [h3c-acl-link-4000] rule 3 deny ingress any
[h3c-acl-link-4000] rule 3 deny ingress any
[h3c-acl-link-4000] quit
# 进入用户界面视图。
[h3c] user-interface vty 0 4
# 引用二层访问控制列表,对用户界面的呼入进行限制。
[h3c-user-interface-vty0-4] acl 4000 inbound
4.2.4 基本acl 控制配置举例
1. 组网需求
仅允许来自10.110.100.52 和10.110.100.46 的telnet 用户访问交换机。
2. 组网图
3. 配置步骤
# 定义基本访问控制列表。
[h3c] system-view
system view: return to user view with ctrl+z.
[h3c] acl number 2000 match-order config
# 定义子规则。
[h3c-acl-basic-2000] rule 1 permit source 10.110.100.52 0
[h3c-acl-basic-2000] rule 2 permit source 10.110.100.46 0
[h3c-acl-basic-2000] rule 3 deny source any
[h3c-acl-basic-2000] quit
# 进入用户界面视图。
[h3c] user-interface vty 0 4
# 引用访问控制列表。
[h3c-user-interface-vty0-4] acl 2000 inbound
阅读(8013) | 评论(0) | 转发(0) |