H3C 交换机使用ACL限制非法用户通过Telnet登录控制台

最新推荐文章于 2024-04-26 20:00:03 发布
最新推荐文章于 2024-04-26 20:00:03 发布
阅读量1.1w 收藏 44
点赞数 5
分类专栏: 【华为华三】
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nevergum/article/details/103095790
版权

前景提示

为了方便管理,企业交换机都会设置Telnet远程登录,以此来通过合法用户和密码登录交换机控制台,进行各类配置命令操作。交换机开启了Telnet功能后,默认所有ping通网关地址的PC均可以通过Telnet登录交换机,这是我们不希望看到的,所以我们使用ACL访问控制列表对允许的IP地址进行授权。

实验步骤

我们从无到有,设置Telent.

客户端合法IT管理者IP地址是,192.168.251.80/192.168.251.82

Telnet的网关是:192.168.252.253

<H3C>system-view //进入系统视图
System View: return to User View with Ctrl+Z.
[H3C]undo  info-center enable //关闭消息提示
Information center is disabled.
[H3C]telnet server enable //开启Telnet服务,不开启无法使用
[H3C]user-interface vty 0 4 //进入VTY接口,同时配置0-4等5个用户
[H3C-line-vty0-4]authentication-mode scheme //认证模式是Scheme
[H3C-line-vty0-4]user-role level-15 //设置用户角色等级是15级最高
[H3C-line-vty0-4]protocol inbound telnet//用来指定VTY用户界面所支持的协议是Telnet
[H3C-line-vty0-4]quit//退出

[H3C]local-user admin //新增用户admin
New local user added.
[H3C-luser-manage-admin]password simple Admin@h3c123 //设置此用户的密码是Admin@h3c123
[H3C-luser-manage-admin]service-type telnet //该账户服务类型是Telnet
[H3C-luser-manage-admin]quit//退出

[H3C]acl number 3004 //创建高级ACL ,序号是3004(高级ACL,3000-3999)
[H3C-acl-ipv4-adv-3004] rule 0 permit ip source 192.168.251.80 0 destination 192.168.252.253 0
//允许,192.168.251.80指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004] rule 5 permit ip source 192.168.251.82 0 destination 192.168.252.253 0
//允许,192.168.251.82指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004]rule deny ip//拒绝所有IP地址登录

[H3C]telnet server acl 3004 //调用ACL

实验总结

第一点:我上面用的是高级ACL,序号是3000-3999

为什么用高级ACL呢?一般核心交换机会有多个网段,只要可以ping的通交换机的网关,就可以通过它来登录交换机。比如此次实验我的网关地址是192.168.252.253,但是实际上还有其他网关,比如,192.168.230.254。如果不使用高级ACL,那么授权的80/82可以访问交换机上所有网关地址,做了此设置,授权IP就只能登陆指定的192.168.251.252网关了。

(我个人比较喜欢这种方式,哈哈哈)

附上:基本ACL(2000-2999)规则(大多用这个,哈哈哈)

[H3C]acl number 2000
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.80 0
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.82 0
[H3C-acl-ipv4-basic-2000]rule deny 
[H3C-acl-ipv4-basic-2000]quit

第二点:IP地址后面的掩码,是通配符掩码,不是子网掩码,更不是反掩码。全0代表唯一的地址,255则代表一整个网段,具体可参考我其他文章。

比如:192.168.1.1 0代表的是指定192.168.1.1这个唯一的IP地址

而192.168.1.0  0.0.0.255则代表192.168.1.0整个网段,即192.168.1.1-192.168.1.255 

小提示:OSPF协议里,在骨干区域宣告网段的时候,也是用的通配符掩码。

第三点:H3C交换机和HUAWEI交换机调用ACL方式稍有不同。

H3C交换机是

[H3C]telnet server acl 3004 //调用ACL,没有inbound

HUAWEI交换机则是


[Huawei-ui-vty0-4]acl 2000 inbound //注意是VTY,接口下调用

 

疏散一小生
关注
  • 5
    点赞
  • 44
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H3C-ACL基础配置实验
weixin_44923066的博客
04-03 4179
步骤二PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。②:PC1 可以访问 SERVER1 的 TELNET 服务,但不能访问 FTP 服务。③:PC2 可以访问 SERVER1 的 FTP 服务,但不能访问 TELNET 服务。步骤三:PC2可以访问 SERVER1 的 FTP服务,但不能访问 TELNET 服务。3.在 SERVER1 上配置开启 TELNET 和 FTP 服务,开启即可-略。网段不允许访问 SERVER1,要求通过高级 ACL 实现。
【HCL】H3C使用telnet访问交换机(应用acl访问控制)的实验
Arsenal30的博客
02-13 3873
访问交换机的4种方式: A. Console B. MiniUSB:需要安装MiniUSB驱动 C. Ssh方式远程登录设备 D. telnet方式远程登录设备 本文演示使用telnet远程访问h3c交换机的实验: 拓扑图: 如图所示:本地主机(Host_1)与交换机(SW1)相连,在SW1开启telnet功能后,在本地主机(Host_1)telnet远程访问对交换机进行查看配置。 配置telnet命令解析: [sw1]telnet server enable //开启telnet服务 [sw1]i
h3c交换机mac地址绑定、三层交换机固定ip上网、三层交换机端口配置ip地址的方法
10-01
主要介绍了h3c交换机mac地址绑定、三层交换机固定ip上网、三层交换机端口配置ip地址的方法,需要的朋友可以参考下
H3C ACL的应用与配置1
weixin_41120428的博客
04-26 1315
SWHC1-acl-ipv4-adv-3000]rule 30 permit ip source 192.168.50.252 0 destination 192.168.70.252 0 //设置一条ID为30的过滤,允许源地址为 192.168.50.252 访问目的地址为192.168.70.252 的设备。高级ACL范围3000-3999:对源IP,目地IP,协议,端口号进行过滤。[SWHC1]acl number 3000 //创建高级ACL 3000。
H3C交换机限制远程(HTTP、HTTPS、Telnet、SSH)登陆
fengsedy的博客
03-10 5416
通过ACLH3C交换机远程登陆进行限制
华为H3C ACL配置
热门推荐
弱水滴石的博客
01-16 6万+
一、ACL功能简介 随着网络规模的扩大和流量的增加,对网络安全的控制和对带宽的分配成为网络管理的重要内容。通过对数据包进行过滤,可以有效防止非法用户对网络的访问,同时也可以控制流量,节约网络资源。ACL(Access Control List,访问控制列表)即是通过配置对报文的匹配规则和处理操作来实现包过滤的功能。 二、ACL种类 1. 基本ACL:只根据数据包的源IP地址制定规则,序号
h3c交换机限制端口访问_H3C交换机限制局域网端口网限方法
weixin_42916109的博客
08-19 3216
配置思路流量监管功能是通过QoS命令行实现。本案例中,用户采用固定IP,因此可以通过匹配用户IP地址的方法匹配用户流量,并对其流量监管。配置步骤。
H3C交换机典型(ACL)访问控制列表配置实例
10-01
本文将介绍如何配置H3C交换机典型(ACL)访问控制列表,需要的朋友可以参考下
H3C交换机Telnet配置.pdf
04-15
H3C交换机Telnet配置是指在H3C交换机上实现Telnet远程登录的配置过程。Telnet是一种常用的远程登录协议,允许用户从远程设备上访问和管理网络设备。以下是H3C交换机Telnet配置的详细步骤和知识点: 一、基本概念 ...
H3C交换机Telnet配置.docx
10-30
在配置用户界面后,管理员可以使用Telnet客户端连接到H3C交换机,并执行命令来管理和配置交换机H3C交换机Telnet配置是指通过Telnet协议来远程管理和配置H3C交换机的过程。它包括初始化配置、VLAN配置和用户界面...
H3C交换机常用巡检命令
04-17
H3C交换机常用巡检命令是网络管理员必备的技能,通过这些命令,可以实时监控和维护交换机的运行状态,确保网络的稳定和安全。本文将详细介绍H3C交换机常用巡检命令的使用方法和实践应用。 一、硬件状态检查 1. ...
Zabbix 模板 H3C交换机通用模板zbx_export_templates
08-06
- Zabbix模板会通过SNMP协议从H3C交换机获取CPU使用率数据,这有助于识别交换机是否因高负载而出现性能问题。 - 监控项通常包括“当前CPU利用率”和“平均CPU利用率”,这些指标可以帮助管理员在性能下降前发现...
telnet成功_网络安全访问控制列表ACL控制telnet登录,一分钟了解下
weixin_39720662的博客
11-21 904
一、需求 1.路由器名为:cisco1、cisco2; 2.cisco1的S0端口与cisco2的S0端口相连,IP地址如图所示,在cisco2上设置特权密码为cisco,线路密码为cisco; 3.从cisco1使用PING命令测试到cisco2的连通性,结果可达,但却不可以 TELNET到cisco2。二、拓扑三、步骤有两种方法实现方法一:使用扩展ACL1.检测基本配置cisco2(confi...
H3C ACL 访问控制
weixin_44002750的博客
08-08 4460
实验拓扑 各路由器和PC的ip配置 PC1 [PC1]int g0/0 [PC1-GigabitEthernet0/0]ip add 192.168.1.1 24 PC2 [PC2]int g0/0 [PC2-GigabitEthernet0/0]ip add 192.168.1.2 24 R1 [R1]int g0/0 [R1-GigabitEthernet0/0]ip add 192.168.1.254 24 [R1-GigabitEthernet0/0]int g0/1 [R1-GigabitEth
华三h3c系列交换机ACL实践
henu_lxz的博客
04-22 1万+
学习目标: 认识华三h3c的两种ACL:basic acl 、advancedacl如何使用acl中的source ip或destination ip在接口下或interface vlan调用时inbound/outbound。 学习内容: 本次实验的拓扑如下: 1、如上图所示在交换机SW1上配置basic acl控制R1或客户server 3访问内网ssh服务的接口地址或loop back地址。以便验证华三系列交换机如何配置basic acl并调用在接口下。 2、如上图所示在交换机SW1上配..
h3c交换机限制端口访问_勒索病毒,华为/H3C三层交换机/路由器用ACL访问控制实现端口禁用...
weixin_39999859的博客
12-21 9211
前不久勒索病毒横行,很多人都纷纷中招,从公司到个人,损失相当惨重。有些公司在互联网入口上了控制,但是这样并非完全,万一有人把中了毒的U盘插入网内设备上呢?那我们的内网中很有可能集体中招(打过相关补丁的除外)。我们今天就说说如何在路由、交换机上实现相应的访问控制,封堵相关端口,防止病毒在网络内部蔓延。以华为和H3C设备配置为例。什么?为什么没有思科?要啥自行车,我们需要支持国产!*********...
h3c交换机限制端口访问设置限制访问外网
weixin_42916109的博客
08-19 4239
版权声明:本文为CSDN博主「weixin_39848953」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。原文链接:https://blog.csdn.net/weixin_39848953/article/details/111790583。rule 220 deny udp destination-port eq 8000 规则220限制用户访问UDP端口8000。使用的环境,把不能访问80端口跟qq服务器的用户划入vlan 50。...
H3C_远程登录IP(telnet运维)限制的配置_配置技巧
zsisle的博客
07-13 3774
在一些小型的没有运维平台的网络中,通常使用普通PC或者服务器来远程登录网络设备来运维,由于网络安全的考虑,一般需要限制远程登录运维PC的IP或网段,本案例来演示下如何配置限制远程登录的IP。......
h3c交换机配置telnet远程登录命令
最新发布
05-08
H3C交换机配置Telnet远程登录命令的步骤如下: 1. 进入交换机的系统视图 ``` system-view ``` 2. 配置交换机的IP地址和网关 ``` interface Vlan-interface1 ip address 192.168.1.1 255.255.255.0 quit ip route-static 0.0.0.0 0.0.0.0 192.168.1.254 ``` 3. 创建本地用户并设置登录密码 ``` local-user admin password cipher xxxxxxxx // 密码采用密文形式存储,可以使用password simple指令直接输入明文密码 service-type telnet authorization-attribute level 3 ``` 4. 开启Telnet服务并设置Telnet登录密码 ``` telnet server enable user-interface vty 0 4 authentication-mode scheme // 启用本地用户认证方式 protocol inbound telnet // 允许Telnet协议登录 user privilege level 3 // 设置用户特权级别为3 set authentication password cipher xxxxxxxx // 设置Telnet登录密码,密码同样采用密文形式存储 quit ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值