设为首页收藏本站
开启辅助访问

Telnet之ACL篇

 您所在的位置:网站首页 vlanif acl Telnet之ACL篇

Telnet之ACL篇

2024-01-06 00:07| 来源: 网络整理| 查看: 265

在一个三层交换机中,我们通常会启用多个VLANif,不知道细心的读者发现没,当Telnet服务开启的时候,且不做ACL访问控制,客户端可以通过每一个vlanif来进行telnet登录。

换言之,我三层交换机,有三个vlanif,分别是vlanif10,vlanif20,vlanif30,只要能和三个vlanif通信的客户端,都可以通过不同的vlanif进行登录交换机,这是我们不希望看到的。

那么,该如何限制呢?答案是,使用ACL。

在如上的拓补图中,我们假设LSW1是我们的核心交换机,也就是实验的对象。

实验过程:

我们通过做访问控制,使得只有路由器的IP地址,192.168.10.254可以登录vlanif10(192.168.10.254),其他vlanif也不可以。

而其他交换机vlanif40的交换机不能通过远程登录登录LSW1交换机。

下面请看详细代码

ROUTER:

#  sysname ROUTER

#  undo info-center enable //关闭消息提示# interface GigabitEthernet0/0/0 //给G0/0/0配置IP地址 ip address 192.168.10.254 255.255.255.0  # ip route-static 192.168.20.0 255.255.255.0 192.168.10.1 //写去交换机的静态路由,目标地址+掩码+下一跳IP地址ip route-static 192.168.30.0 255.255.255.0 192.168.10.1 ip route-static 192.168.40.0 255.255.255.0 192.168.10.1 #

LSW1:

sysname CORE # undo info-center enable # vlan batch 10 20 30 40 //创建vlan10 20 30 40  # interface Vlanif10  ip address 192.168.10.1 255.255.255.0 # interface Vlanif20  ip address 192.168.20.254 255.255.255.0  dhcp select interface # interface Vlanif30  ip address 192.168.30.254 255.255.255.0  dhcp select interface # interface Vlanif40  ip address 192.168.40.1 255.255.255.0 # interface GigabitEthernet0/0/1 //此处连接路由器的方式有两种,一种是将此端口ACCESS接入vlan10,第二种以PVID的形式让

端口可以将默认的PVID(本实验是VLAN10)发送时不带标签,因为计算机和路由器都不能识别tag标签,只能识别untag标签,所以此处有两种方式连接路由器。 port link-type trunk  port trunk pvid vlan 10 //设置端口的PVID为10,从而发送VLAN帧的时候,可以让vlan10不带标签,被路由器识别。 undo port trunk allow-pass vlan 1  port trunk allow-pass vlan 10//允许vlan10通过# interface GigabitEthernet0/0/2  port link-type access  port default vlan 20 # interface GigabitEthernet0/0/3  port link-type access  port default vlan 30 # interface GigabitEthernet0/0/4  port link-type access  port default vlan 40 # acl number 3000  rule 5 permit ip source 192.168.10.254 0 destination 192.168.10.1 0//允许IP地址是192.168.10.254的IP登录192.168.10.1的IP地址 rule 10 deny ip # user-interface vty 0 4 //进入虚拟终端接口,可以允许最大0-4个用户同时登录这台设备,也就是5个用户。 acl 3000 inbound//调用acl策略 authentication-mode aaa//设置telnet的验证方式为AAA,即同时输入正确的用户名和密码才能登录 user privilege level 15//设置用户的权限等级为15# local-user admin password cipher  local-user admin service-type telnet //设置这个用户的服务类型是telnet#

LSW2:

# interface Vlanif40  ip address 192.168.40.254 255.255.255.0 # interface Ethernet0/0/1  port link-type access  port default vlan 40 # 通过acl3000限制,使得只有路由器的IP地址可以telnet 192.168.10.1,从而达到了实验目的。

 



【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3