华为交换机通过ACL限制登录telnet账户为指定IP地址

最新推荐文章于 2024-05-27 17:57:59 发布
最新推荐文章于 2024-05-27 17:57:59 发布
阅读量2w 收藏 88
点赞数 11
分类专栏: 【华为华三】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/NeverGUM/article/details/92801808
版权

公司可能为了安全考虑,只允许IT管理员的IP地址登录到此交换机。那么该怎么实现呢?

实现步骤

1:设置ACL

2:在虚拟接口telnet下调用基本ACL。

ACL可以这样写。

#acl 2000//2000基本ACL,匹配源地址

#step 5

#rule permeit source 192.168.1.1 0 //只允许源地址是192.168.1.1的IP地址访问Telnet

#rule deny

//重要!!!!这里补充一点,这里的IP地址后面的0是通配符掩码,不是反掩码。0代表,0.0.0.0,这代表全部匹配,意味着这是一个IP地址192.168.1.1,换成其他192.168.1.2就不可以了。假如读者需要本实验1网段1-254 都可以访问,那么后面的通配符就要变成,0.0.0.255,0代表精确匹配,255代表模糊匹配。

具体原因可以参考本篇文章最后。

ACL的应用特别广泛,好好学习天天向上 哈哈哈哈哈~~~~

 

本次实验过程以及目的

通过,三个交换机各自设置了IP地址,并且在S2交换机上开启了Telnet,我们设置了ACL访问控制以后,在S1和S3上试图Telnet   S2的交换机,通过设置ACL,我们发现只有ACL允许的192.168.1.1(也就是S1交换机)可以登录此交换机。

S1#

#
sysname S1
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.1 255.255.255.0
#

S2#


<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]sysname S2

[S2]interface Vlanif 1	//配置IP地址
[S2-Vlanif1]ip address 192.168.1.254 24
[S2-Vlanif1]quit 

[S2]acl 2000 //ACL2000,是基本ACL的第一个,范围是2000-2999
[S2-acl-basic-2000]rule permit source 192.168.1.1 0//允许192.168.1.1通过
[S2-acl-basic-2000]rule deny //拒绝其他所有IP
[S2-acl-basic-2000]quit //退出
	
[S2]user-interface vty 0 4 //配置Telnet,同时配置5个用户
[S2-ui-vty0-4]authentication-mode aaa //认证模式是AAA
[S2-ui-vty0-4]user privilege level 15	//用户等级
[S2-ui-vty0-4]protocol inbound telnet 		
[S2-ui-vty0-4]acl 2000 inbound 	//应用ACL
[S2-ui-vty0-4]quit 

[S2]aaa 	
[S2-aaa]local-user admin password cipher abc123456 privilege level 15//设置用户名和密码
[S2-aaa]local-user admin service-type telnet  //设置这个admin用户用来Telnet


S3#

#
sysname S3
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.2 255.255.255.0
#

问题来了,如果有2名IT管理员的话,该如何设置呢?

只要在ACL再增加一条即可,permit语句,记住Deny语句要写在最后噢!

总结一下:事实上ACL的应用非常广泛,比如可以用ACL3000 ,来实现公司打印机,考勤机,只允许管理员或者特定人群访问,就可以用这种方式,从而提高了数据安全性。

0.0.0.0 通配符是全0的时候,意味这这是一个固定的IP地址,是精确的,比如192.168.251.82.

0.0.0.255 通配符是这样的时候,意味这是一个网段的地址,是整个网段,比如192.168.251.1-192.168.251.254 (192.168.251.0)

0.0.255.255通配符是这样的时候,意味这网段地址匹配的是这样的,192.168.0.0 

 

题外话:

通配符掩码作为ACL中重要的一部分,是路由器或者交换机在进行访问控制时必不可少的重要部件,那么什么是通配符掩码呢?
通配符掩码:路由器使用通配符掩码与原地址或者是目标地址一起来分辨匹配的地址范围,在访问控制列表中,将通配符掩码中设置为1 的表示本位可以忽略ip地址中的对应位,设置成0 的表示必须精确的匹配ip地址中的对应位。

举个例子,假如有这样一条规则,12.0.0.0     反掩码是8.0.0.1,那么它本身代表的IP地址是?

我们这样来看:

12.0.0.1 换成二进制,为00001100.00000000.00000000.00000001

8.0.0.1换成二进制,   为00001000.00000000.00000000.00000001

也就是说,8.0.0.1这个通配符掩码,bit位为0位的,要和上面IP地址对应一致。

通俗一点就是说,通配符是0位的,上面的0或者1就不能变,也就是0.0.0.0为什么是一个精确的IP地址的原因。

例如:192.168.10.1 /0.0.0.0  即代表,这是精确的一个IP地址。

通配符是1位的,可以取值“0”或者“1”

那么本例这条规则代表的IP地址就出来了,

00000100.00000000.00000000.00000000 即:4.0.0.0

00001100.00000000.00000000.00000000 即:12.0.0.0

00000100.00000000.00000000.00000001 即:4.0.0.1

00001100.00000000.00000000.00000001 即:12.0.0.1

即,这条反掩码代表了这4个IP地址。

路过的大神如果发现错误,愿意指点小弟,小弟感激不尽。评论区见
 

 

疏散一小生
关注
  • 11
    点赞
  • 88
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
华为S5700交换机开启telnet远程指定IP登陆
星如雨落
06-12 5981
<Huawei>system-view Enter system view, return user view with Ctrl+Z. [Huawei]sysname S2 [S2]telnet server enable //使能telnet服务。 [S2]interface Vlanif 1 //配置IP地址 [S2-Vlanif1]ip address 192.168.1.254 24 [S2-Vlanif1]quit [S2]user-interface vty 0 4
思科交换机操作屏蔽IP地址
09-19
如何在思科路由器屏蔽指定IP地址,有需要的可以学习下。
限制服务器访问IP
最新发布
weixin_42241611的博客
05-27 275
使用高级ACL以及在接口启用IP地址与MAC地址绑定。在这之前需要先确认需要绑定的MAC地址与IP。3、在接口下应用ACL与MAC绑IP。以华为千兆交换机为例,步骤如下。2、绑定MAC地址与IP地址
华为交换机配置ACL限制用户通过HTTP/SSH登录设备,只允许指定IP登录交换机
热门推荐
玩人工智能的辣条哥的博客
09-24 1万+
设备 华为S5735S-S24T4S-A VRP ® software, Version 5.170 (S5735 V200R019C10SPC500) 配置说明 只允许192.168.1.2可以通过HTTP/SSH访问交换机,其他IP不能访问 配置命令 system-view [LTG] acl 2001 [LTG-acl-basic-2001] rule 1 permit source 192.168.1.2 0 [LTG-acl-basic-2001] quit [LTG] ssh server a
华为交换机ACL限制telnet登入以及安全防护配置
AshQ
09-19 1万+
给交换机的telnet ftp等配置白名单,限制非法登入。 启用Telnet服务 <HUAWEI> system-view [HUAWEI] sysname Telnet_Server [Nxera-YC] telnet server enable 配置VTY用户界面的最大个数。 [Nxera-YC] user-interface maximum-vty 15 配...
华为S5300系列交换机限制特定IP可以登录Web
angou6476的博客
08-19 1725
针对Web管理可能有如下需求: 1、限制某个特定IP允许访问Web 2、默认修改80端口访问 那么针对上面的设置可以有效杜绝而已Web密码暴力破解,增强交换机安全等。 实现: 1、限制特定IP登录Web,实现原理是使用ACL进行控制 [Huawei] acl 2000 // 配置ACL编号为2000。 [Huawei-acl-basic-2000] rule 5 pe...
华为交换机TELNET远程管理交换机配置实例[借鉴].pdf
10-13
华为交换机TELNET远程管理交换机配置实例 在软件网络技术领域中,TELNET远程管理交换机配置是非常重要的一部分。下面将详细介绍华为交换机TELNET远程管理交换机配置实例。 一、TELNET远程管理交换机配置需求 在本...
华为交换机学习指南参考手册
12-14
2. **配置流程**:熟悉华为交换机的命令行接口(CLI)操作,学习如何进行端口配置、VLAN划分、IP地址分配、路由设置等基本操作。此外,还会涉及远程访问配置,如SSH(安全外壳协议)和telnet。 3. **高级特性**:...
深圳信狮华为交换机基本配置命令.docx
03-06
华为交换机基本配置】 华为交换机的基本配置主要包括VLAN划分、远程访问、跨交换机VLAN通信和路由配置等核心任务。以下是对这些知识点的详细说明: 1. **VLAN划分** - `system-view`:进入系统视图,这是进行...
华为交换机配置.docx
06-05
以上只是华为交换机配置的基本操作,实际配置过程中可能还需要配置端口聚合、访问控制列表(ACL)、路由、QoS、STP等高级特性。对于大型网络,通常还需要规划和管理VLAN策略、端口安全、端口镜像等,以确保网络的...
华为交换机配置命令
07-17
5. 配置IP地址:在接口配置模式下,使用`ip address`命令配置接口的IP地址,如`ip address 192.168.1.1 24`。 6. 配置VLAN(虚拟局域网):VLAN可以隔离广播域,提高网络安全性。使用`vlan`命令创建VLAN,`vlan 10`...
ACL访问控制Telnet登录
dragon的博客
10-23 270
【代码】ACL访问控制Telnet
华为交换机配置IPSG防止DHCP动态主机私自更改IP地址
玩人工智能的辣条哥的博客
06-16 3801
IPSG简介 IPSG是一种基于二层接口的源IP地址过滤技术,它利用交换机上的绑定表对IP报文进行过滤。绑定表由IP地址、MAC地址、VLAN ID和接口组成,包括静态和动态两种。静态绑定表是用户手工创建的,动态绑定表即DHCP Snooping绑定表,它是在主机动态获取IP地址时,交换机根据DHCP回复报文自动生成的。绑定表生成后,在使能IPSG的接口收到报文后,交换机会将报文中的信息和绑定表匹配,匹配成功则允许报文通过,匹配失败则丢弃报文。匹配的内容可以是IP地址、MAC地址、VLAN ID和接口的任意
神州数码 DCN 交换机 配置Telnet方式登录
z09364517158的博客
12-24 884
注:开启Radius + 本地验证,需要根据现场情况配置Radius-Server参数,具体配置见本手册“安全认证功能配置”部分的描述。3. 只允许192.168.1.2/24这个IP或只允许192.168.1.0/24这个IP地址段的PC进行Telnet登录。2. 配置Telnet用户登录时的验证方式(本地验证 或 Radius+本地验证)3. 配置允许Telnet管理交换机的地址限制(单独IPIP地址段)2. 分别应用本地认证和Radius+本地认证方式对用户名密码进行验证。
华为交换机使用基本ACL限制Telnet登录权限
2301_76975583的博客
12-05 398
所示,PC与设备之间路由可达,用户希望简单方便的配置和管理远程设备,可以在服务器端配置Telnet用户使用AAA验证登录,并配置安全策略,保证只有符合安全策略的用户才能登录设备。配置VTY用户界面登录的验证方式。配置允许用户登录设备的主机地址。4.使用R1telnet交换机。配置VTY用户界面的最大个数。配置VTY用户界面的终端属性。3.配置登录用户的相关信息。
ACLTelnet
weixin_55932038的博客
05-18 798
在R2配置基本ACL,允许源IP:192.168.1.254 远程登录R2 ,拒绝其他IP远程。<R1>telnet -a 192.168.12.1 192.168.2.254(R2) 无法远程。<R1>telnet -a 192.168.12.1 192.168.12.2(R2) 无法远程。[R2-ui-vty0-4]acl 2000 inbound //在vty虚接口调用acl。[R3-ui-vty0-4]acl 2000 inbound //在vty虚接口调用acl
ACL访问控制
weixin_42753043的博客
04-21 5821
ACL (仅作为个人笔记,如有雷同,请联系删除。。) 访问控制列表(ACL):是一种基于包过滤的访问控制技术,它可以根据设定的条件对接口上的数据包进行过滤,允许其通过或丢弃。访问控制列表被广泛地应用于路由器和三层交换机,借助于访问控制列表,可以有效地控制用户对网络的访问,从而最大程度地保障网络安全。 访问控制列表(Access Control Lists,ACL)是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝,可以由类似于源地址、目的
ACL对内网某一特定网段对外网的访问控制使用以及ACL访问控制应用PAT端口转换以后的ping包流程。
忆林的博客
11-03 1022
这边简单的对以下两个问题说说自己的理解;其一: 对于acl对内网某一特定网段对于外网的访问控制目前我是想了以下两种方法: 其实主要应用的场景是对于两个路由器的,示意图如下: 因为外部走内部的时候ping的是内网IP,而内网的多个IP已经映射为一个对外的端口IP,这个时候由于外网路由是没有配置默认路由的所以我们是学习不到内部的ip地址的,这样的实现都是为了安全考虑。 如果要实现的话也可以就是需要对特定的内网网段做一个默认路由打到内网路由,这样的话,这个数据请求包才会送到内网路由上
华为交换机开启web后不能telnet
09-07
华为交换机开启web管理界面后,有时候会发现无法通过telnet方式登录该交换机。其原因可能是由于以下几点: 1. 访问控制列表(ACL):在配置了web管理界面后,有可能会设置ACL限制通过telnet方式登录交换机。这些...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值