配置对Telnet/SSH 用户的ACL 控制通过配置对telnet 或ssh 用户的acl 控制,可以在登录用户进行口令认证之前将一些恶意或者不合法的连接请求过滤掉,保证设备的安全。
4.2.1 配置准备
用户对telnet 或ssh 方式登录交换机进行了正确配置。
4.2.2 配置过程
缺省情况下,不对用户界面的呼入(inbound)/ 呼出(outbound)进行限制。
telnet 或ssh 用户的acl 控制功能只能引用基于数字标识的访问控制列表。
telnet 或ssh 用户引用基本访问控制列表或高级访问控制列表时,基于源ip或目的ip 地址对呼入/呼出进行限制。因此引用基本访问控制列表和高级访问控制列表子规则时,只有源ip 及其掩码、目的ip 及其掩码、time-range 参数有效。类似的,telnet 和ssh 用户引用二层访问控制列表时,基于源mac 地址对呼入/呼出进行限制。因此引用二层访问控制列表子规则时,只有源mac 及其掩码、time-range 参数有效。
基于二层访问控制列表对telnet、ssh 用户进行控制时,只能限制呼入。
对由于受acl 限制而被拒绝登录的用户,会记录一次访问失败日志信息。日志内容包括该用户的ip 地址、登录方式、登入用户界面索引值和登录失败原因。
4.2.3 二层acl 控制配置举例
1. 组网需求
仅允许源mac 地址为00e0-fc01-0101 和00e0-fc01-0303 的telnet 用户访问交换机。
2. 组网图
3. 配置步骤
# 定义二层访问控制列表。
[h3c] system-view
system view: return to user view with ctrl+z.<