我核心交换机上 4个 interface Vlan-interface 三层接口,接口下ip,作为网关
我们公司很多人都会网络,他们老是搞我交换机,我擦,经常远程上去
我的需求就是,比如,我4个网关为:1.1.1.1 2.2.2.1 3.3.3.1 4.4.4.1
不想让他们用户通过ssh 22端口或者其他端口远程上来
我acl 应该如何写,禁止网关的22端口,得不影响他们上网哈
(0)
1.建一条acl
acl 3000
rule 5 permit sou 自己主机地址 0
rule 10 deny any
2.acl 3000 应用到ssh
ssh sever acl 3000
(0)
通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:
· 当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;
· 当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,以免非法用户使用Telnet/SSH访问设备。
关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。
用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费。
确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC等参数进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
表7-1 配置对Telnet用户的控制
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
使用ACL限制哪些Telnet客户端可以访问设备 | telnet server acl acl-number | 请根据需要选择 缺省情况下,没有使用ACL限制Telnet客户端 |
telnet server ipv6 acl [ ipv6 ] acl-number |
表7-2 配置对SSH用户的控制
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
使用ACL限制哪些SSH客户端可以访问设备 | ssh server acl acl-number | 请根据需要选择 缺省情况下,没有使用ACL限制SSH客户端 ssh server acl和ssh server ipv6 acl命令的详细介绍请参见“安全命令参考”中的“SSH” |
ssh server ipv6 acl [ ipv6 ] acl-number |
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问AC。
图7-1 使用ACL对Telnet用户进行控制
# 定义ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问AC。
[Sysname] telnet server acl 2000
通过引用ACL可以对访问设备的Web用户进行控制。只有ACL中permit的用户才能使用Web访问设备,其它用户不允许访问设备,以免非法用户使用Web访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
在通过源IP对Web用户进行控制时需要注意,Web登录时用户输入的用户名和密码属于敏感信息,Web登录请求是采用HTTPS的方式发送到Web服务器的。所以,如果ip https acl命令中的ACL规则拒绝客户端通过HTTPS服务访问Web页面,那么该客户端也无法通过HTTP服务访问Web页面。
通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问AC。
[Sysname] acl basic 2030 match-order config
[Sysname-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2030] quit
# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问AC。
确定了对NMS的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。
表7-5 SNMPv1/SNMPv2c版本配置对NMS的控制
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
在配置SNMP团体名的命令中引用ACL | VACM方式: snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * | 根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” 配置SNMP团体名或用户名时二者选其一 |
RBAC方式: snmp-agent community [ simple | cipher ] community-name user-role role-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * | ||
在配置SNMPv1/SNMPv2c用户名的命令中引用ACL | snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * | |
snmp-agent usm-user { v1 | v2c } user-name group-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
表7-6 SNMPv3版本配置对NMS的控制
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
在配置SNMPv3组名的命令中引用ACL | snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * | 根据网管用户运行的SNMP版本及配置习惯,可以在组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP” |
在配置SNMPv3用户名的命令中引用ACL | VACM方式: snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address | ipv6 ipv6-address } ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | 3des | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * | |
RBAC方式: snmp-agent usm-user v3 user-name user-role role-name [ remote { ipv4-address | ipv6 ipv6-address } ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | 3des | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] * |
通过源IP对NMS进行控制,仅允许来自10.110.100.52和10.110.100.46的NMS访问AC。
图7-3 使用ACL对NMS进行控制
# 定义基本ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,仅允许来自10.110.100.52和10.110.100.46的NMS访问AC。
[Sysname] snmp-agent community read aaa acl 2000
[Sysname] snmp-agent group v2c groupa acl 2000
[Sysname] snmp-agent usm-user v2c usera groupa acl 2000
缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定。当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制。用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。
要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法。命令行授权方法可以和login用户的授权方法相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。
表7-7 配置命令行授权功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入用户线视图 | line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] } | 二者选其一 · 用户线视图下的配置优先于用户线类视图下的配置 · 用户线视图下的配置只对该用户线生效 · 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 · 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值 |
进入用户线类视图 | line class { console | vty } | |
设置登录用户的认证方式为通过AAA认证 | authentication-mode scheme | 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证);用户通过VTY用户线登录,认证方式为password 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
使能命令行授权功能 | command authorization | 缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权 如果用户类视图下使能了命令行授权功能,则该类型用户线视图都使能命令行授权功能,并且在该类型用户线视图下将无法禁用命令行授权功能 |
为了保证AC的安全,需要对登录用户执行命令的权限进行限制:用户Host A登录AC后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。
图7-4 命令行授权配置组网图
# 在AC上配置IP地址,以保证AC和Host A、AC和HWTACACS server之间互相路由可达。(配置步骤略)
# 开启AC的Telnet服务器功能,以便用户访问。
<Sysname> system-view
[Sysname] telnet server enable
# 配置用户登录AC时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。
[Sysname] line vty 0 4
[Sysname-line-vty0-4] authentication-mode scheme
# 使能命令行授权功能,限制用户只能使用授权成功的命令。
[Sysname-line-vty0-4] command authorization
[Sysname-line-vty0-4] quit
# 配置HWTACACS方案:授权服务器的IP地址,TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Sysname] hwtacacs scheme tac
[Sysname-hwtacacs-tac] primary authentication 192.168.2.20 49
[Sysname-hwtacacs-tac] primary authorization 192.168.2.20 49
[Sysname-hwtacacs-tac] key authentication simple expert
[Sysname-hwtacacs-tac] key authorization simple expert
[Sysname-hwtacacs-tac] user-name-format without-domain
[Sysname-hwtacacs-tac] quit
# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。
[Sysname] domain system
[Sysname-isp-system] authentication login hwtacacs-scheme tac local
[Sysname-isp-system] authorization command hwtacacs-scheme tac local
[Sysname-isp-system] quit
# 配置本地认证所需参数:创建本地用户monitor,密码为明文的123,可使用的服务类型为telnet,用户角色为level-1。
[Sysname] local-user monitor
[Sysname-luser-manage-monitor] password simple 123
[Sysname-luser-manage-monitor] service-type telnet
[Sysname-luser-manage-monitor] authorization-attribute user-role level-1
当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。
要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法。命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。
表7-8 配置命令行计费功能
操作 | 命令 | 说明 |
进入系统视图 | system-view | - |
进入用户线视图 | line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] } | 二者选其一 · 用户线视图下的配置优先于用户线类视图下的配置 · 用户线视图下的配置只对该用户线生效 · 用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效 · 用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值 |
进入用户线类视图 | line class { console | vty } | |
设置登录用户的认证方式为通过AAA认证 | authentication-mode scheme | 缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证);用户通过VTY用户线登录,认证方式为password 用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值 |
使能命令行计费功能 | command accounting | 缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行 如果用户类视图下使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,并且在该类型用户线视图下将无法禁用命令行计费功能 |
为便于集中控制、监控用户对AC的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录。
图7-5 命令行计费配置组网图
# 开启AC的Telnet服务器功能,以便用户访问。
<Sysname> system-view
[Sysname] telnet server enable
# 配置使用Console口登录AC的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Sysname] line console 0
[Sysname-line-console0] command accounting
[Sysname-line-console0] quit
# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。
[Sysname] line vty 0 4
[Sysname-line-vty0-4] command accounting
[Sysname-line-vty0-4] quit
# 配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。
[Sysname] hwtacacs scheme tac
[Sysname-hwtacacs-tac] primary accounting 192.168.2.20 49
[Sysname-hwtacacs-tac] key accounting simple expert
[Sysname-hwtacacs-tac] user-name-format without-domain
[Sysname-hwtacacs-tac] quit
# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。
[Sysname] domain system
[Sysname-isp-system] accounting command hwtacacs-scheme tac
[Sysname-isp-system] quit
(0)
acl number 3210
rule 0 deny ip xxxx 端口 xxxx
2、将ACL下发到端口:
int range gi 1/0/1 gi 1/0/24
packet-filter 3210 inbound
packet-filter 3210 outbound
quit
(0)
xxxx 就是指的我 网关ip 对吗
xxxx 就是指的我 网关ip 对吗
您好,参考
通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问AC。
图7-1 使用ACL对Telnet用户进行控制
# 定义ACL。
<Sysname> system-view
[Sysname] acl basic 2000 match-order config
[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0
[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0
[Sysname-acl-ipv4-basic-2000] quit
# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问AC。
[Sysname] telnet server acl 2000
通过引用ACL可以对访问设备的Web用户进行控制。只有ACL中permit的用户才能使用Web访问设备,其它用户不允许访问设备,以免非法用户使用Web访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。
(0)
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明