访问控制列表与SSH结合使用,为网络设备保驾护航,提高安全性
manongba · 371浏览 · 发布于2020-07-14
要实现这个功能其实很简单,我们只需要把允许访问的IP流量放通,其他IP流量禁止就能实现了。这里使用ACL就能轻松实现了。
1|0什么是ACL?
ACL(Access Control List)访问控制列表,是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
1|1ACL应用原则
标准ACL,尽量用在靠近目的点
扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
方向:在应用时,一定要注意方向
2|0案例分享
2|1拓扑图
描述: 机房交换机不允许非管理网络SSH登录。上述拓扑中PC2属于管理网络,能远程SSH登录交换机SW1。而PC3不需要管理网络不能SSH登录交换机SW1.
2|2配置思路
创建VLAN10和20,并为VLANIF10和20配置IP地址。
分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。
在SW1上配置SSH远程登录。
配置ACL,允许管理网络远程登录,禁用非管理网络登录。
2|3关键配置
创建VLAN10和20,并为VLANIF10和20配置IP地址。
[SW1]vlan batch 10 20 #创建 vlan 10 20[SW1]interface Vlanif 10 #进入vlan10配置模式[SW1-Vlanif10]ip address 192.168.10.254 24 #配置vlan10 IP地址[SW1]interface Vlanif 20 [SW1-Vlanif20]ip address 192.168.20.254 24
分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。
[SW1]interface GigabitEthernet 0/0/24 #进入接口模式[SW1-GigabitEthernet0/0/24]port link-type access #配置接口模式为access[SW1-GigabitEthernet0/0/24]port default vlan 10 #把接口加入到vlan10中[SW1]interface GigabitEthernet 0/0/23 [SW1-GigabitEthernet0/0/23]port link-type access [SW1-GigabitEthernet0/0/23]port default vlan 20
在SW1上配置SSH远程登录。
关于SW1上的SSH远程登录配置,可以参考这篇文章
配置ACL,允许管理网络远程登录,禁用非管理网络登录。
[SW1]acl name ssh_kongzhi 2001 #定义acl名称为ssh_kongzhi#匹配允许192.168.10网络的流量[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255 [SW1-acl-basic-ssh_kongzhi]rule 10 deny #禁止其他网络流量#在vty接口应用acl 2001[SW1-ui-vty0-4]acl 2001 inbound
通过以上的ACL访问控制列表,就能完美的把允许的流量放行,其他的流量就禁止。其中ACL还有很多的应用场景。感兴趣的小伙伴们可以深入探讨。
相关推荐
PHP实现部分字符隐藏
沙雕mars · 1325浏览 · 2019-04-28 09:47:56
Java中ArrayList和LinkedList区别
kenrry1992 · 908浏览 · 2019-05-08 21:14:54
5月语言排行榜:R 跌出前二十,Python 紧咬 C++
manongba · 687浏览 · 2019-05-09 17:27:24
Tomcat 下载及安装配置
manongba · 970浏览 · 2019-05-13 21:03:56
什么是SpringBoot
iamitnan · 1086浏览 · 2019-05-14 22:20:36
分类专栏
最新发布
最热排行
0评论