Telnet之ACL篇 |
您所在的位置:网站首页 › vlanif acl › Telnet之ACL篇 |
在一个三层交换机中,我们通常会启用多个VLANif,不知道细心的读者发现没,当Telnet服务开启的时候,且不做ACL访问控制,客户端可以通过每一个vlanif来进行telnet登录。 换言之,我三层交换机,有三个vlanif,分别是vlanif10,vlanif20,vlanif30,只要能和三个vlanif通信的客户端,都可以通过不同的vlanif进行登录交换机,这是我们不希望看到的。 那么,该如何限制呢?答案是,使用ACL。 在如上的拓补图中,我们假设LSW1是我们的核心交换机,也就是实验的对象。 实验过程: 我们通过做访问控制,使得只有路由器的IP地址,192.168.10.254可以登录vlanif10(192.168.10.254),其他vlanif也不可以。 而其他交换机vlanif40的交换机不能通过远程登录登录LSW1交换机。 下面请看详细代码 ROUTER:# sysname ROUTER # undo info-center enable //关闭消息提示# interface GigabitEthernet0/0/0 //给G0/0/0配置IP地址 ip address 192.168.10.254 255.255.255.0 # ip route-static 192.168.20.0 255.255.255.0 192.168.10.1 //写去交换机的静态路由,目标地址+掩码+下一跳IP地址ip route-static 192.168.30.0 255.255.255.0 192.168.10.1 ip route-static 192.168.40.0 255.255.255.0 192.168.10.1 # LSW1:sysname CORE # undo info-center enable # vlan batch 10 20 30 40 //创建vlan10 20 30 40 # interface Vlanif10 ip address 192.168.10.1 255.255.255.0 # interface Vlanif20 ip address 192.168.20.254 255.255.255.0 dhcp select interface # interface Vlanif30 ip address 192.168.30.254 255.255.255.0 dhcp select interface # interface Vlanif40 ip address 192.168.40.1 255.255.255.0 # interface GigabitEthernet0/0/1 //此处连接路由器的方式有两种,一种是将此端口ACCESS接入vlan10,第二种以PVID的形式让 端口可以将默认的PVID(本实验是VLAN10)发送时不带标签,因为计算机和路由器都不能识别tag标签,只能识别untag标签,所以此处有两种方式连接路由器。 port link-type trunk port trunk pvid vlan 10 //设置端口的PVID为10,从而发送VLAN帧的时候,可以让vlan10不带标签,被路由器识别。 undo port trunk allow-pass vlan 1 port trunk allow-pass vlan 10//允许vlan10通过# interface GigabitEthernet0/0/2 port link-type access port default vlan 20 # interface GigabitEthernet0/0/3 port link-type access port default vlan 30 # interface GigabitEthernet0/0/4 port link-type access port default vlan 40 # acl number 3000 rule 5 permit ip source 192.168.10.254 0 destination 192.168.10.1 0//允许IP地址是192.168.10.254的IP登录192.168.10.1的IP地址 rule 10 deny ip # user-interface vty 0 4 //进入虚拟终端接口,可以允许最大0-4个用户同时登录这台设备,也就是5个用户。 acl 3000 inbound//调用acl策略 authentication-mode aaa//设置telnet的验证方式为AAA,即同时输入正确的用户名和密码才能登录 user privilege level 15//设置用户的权限等级为15# local-user admin password cipher local-user admin service-type telnet //设置这个用户的服务类型是telnet# LSW2:# interface Vlanif40 ip address 192.168.40.254 255.255.255.0 # interface Ethernet0/0/1 port link-type access port default vlan 40 # 通过acl3000限制,使得只有路由器的IP地址可以telnet 192.168.10.1,从而达到了实验目的。
|
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |