訪問控制列表與SSH結合使用,為網路設備保駕護航,提高安全性
- 2020 年 7 月 14 日
- 筆記
通過之前的文章簡單介紹了華為交換機如何配置SSH遠程登錄,在一些工作場景,需要特定的IP地址段能夠SSH遠程訪問和管理網路設備,這樣又需要怎麼配置呢?下面通過一個簡單的案例帶著大家去了解一下。
要實現這個功能其實很簡單,我們只需要把允許訪問的IP流量放通,其他IP流量禁止就能實現了。這裡使用ACL就能輕鬆實現了。
什麼是ACL?
ACL(Access Control List)訪問控制列表,是由一條或多條規則組成的集合。ACL本質上是一種報文過濾器,規則是過濾器的濾芯。基於ACL規則定義方式,可以將ACL分為基本ACL、高級ACL、二層ACL等種類。
ACL應用原則
- 標準ACL,盡量用在靠近目的點
- 擴展ACL,盡量用在靠近源的地方(可以保護頻寬和其他資源)
- 方向:在應用時,一定要注意方向
案例分享
拓撲圖
描述: 機房交換機不允許非管理網路SSH登錄。上述拓撲中PC2屬於管理網路,能遠程SSH登錄交換機SW1。而PC3不需要管理網路不能SSH登錄交換機SW1.
配置思路
- 創建VLAN10和20,並為VLANIF10和20配置IP地址。
- 分別為PC2和PC3配置IP地址及網關IP,並加入對應的VALN中。
- 在SW1上配置SSH遠程登錄。
- 配置ACL,允許管理網路遠程登錄,禁用非管理網路登錄。
關鍵配置
創建VLAN10和20,並為VLANIF10和20配置IP地址。
[SW1]vlan batch 10 20 #創建 vlan 10 20
[SW1]interface Vlanif 10 #進入vlan10配置模式
[SW1-Vlanif10]ip address 192.168.10.254 24 #配置vlan10 IP地址
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24
分別為PC2和PC3配置IP地址及網關IP,並加入對應的VALN中。
[SW1]interface GigabitEthernet 0/0/24 #進入介面模式
[SW1-GigabitEthernet0/0/24]port link-type access #配置介面模式為access
[SW1-GigabitEthernet0/0/24]port default vlan 10 #把介面加入到vlan10中
[SW1]interface GigabitEthernet 0/0/23
[SW1-GigabitEthernet0/0/23]port link-type access
[SW1-GigabitEthernet0/0/23]port default vlan 20
在SW1上配置SSH遠程登錄。
關於SW1上的SSH遠程登錄配置,可以參考這篇文章
配置ACL,允許管理網路遠程登錄,禁用非管理網路登錄。
[SW1]acl name ssh_kongzhi 2001 #定義acl名稱為ssh_kongzhi
#匹配允許192.168.10網路的流量
[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255
[SW1-acl-basic-ssh_kongzhi]rule 10 deny #禁止其他網路流量
#在vty介面應用acl 2001
[SW1-ui-vty0-4]acl 2001 inbound
通過以上的ACL訪問控制列表,就能完美的把允許的流量放行,其他的流量就禁止。其中ACL還有很多的應用場景。感興趣的小夥伴們可以深入探討。
