仅供参考:使用基本ACL配置交换机telnet访问的权限
组网需求
如图7-1所示,为了便于远程管理交换机,开启了telnet的服务,公司的所有网络管理员都可以登录
到交换机进行管理,但是为了安全考虑,要求在上班期间交换机的管理只能由网络管理部门技术比较好的
管理员小王来管理设备,其他管理员只有下班之后才可以登录交换机管理设备;
图7-1 使用基本ACL配置交换机telnet访问的权限组网图
配置思路
1. 开启交换机的telent服务
2. 配置时间段
3. 配置基本ACL
4. 应用基本ACL
详细配置步骤
1. 开启交换机的telent服务
system-view
[Huawei] telnet server enable #开启交换机的telnet服务
[Huawei] user-interface vty 0 4 #配置telnet的登陆验证方式为用户名加密码
[Huawei-ui-vty0-4] authentication-mode aaa
[Huawei-ui-vty0-4] protocol inbound all #允许通过telent和ssh登陆交换机
[Huawei-ui-vty0-4] quit
[Huawei] aaa #创建telnet登陆交换机的用户名和密码
[Huawei-aaa] local-user huawei privilege level 15 password cipher huawei@
[Huawei-aaa] local-user huawei service-type telnet #给huawei用户赋予telent
的权限
2. 配置时间段,周一到周五早上8:30到下午18:00
[Huawei] time-range workday 8:30 to 18:00 working-day
3. 配置基本ACL
[Huawei] acl 2000
[Huawei-acl-basic-2000] rule permit source 192.168.1.10 0 time-range workday
#只允许192.168.1.10这一个用户可以telnet交换机
[Huawei-acl-basic-2000] rule deny #这个地方rule deny可以不用写,acl在这种场景
下最后隐含有一条deny any的语句;
4. 应用基本ACL
[Huawei] user-interface vty 0 4
[Huawei-ui-vty0-4] acl 2000 inbound #在vty下面应用acl,只允许匹配acl数据流的的用
户telent登陆交换机,没有被permit的全部被deny了。