如何未配置ACL规则对管理员登录地址进行限制（交换机）

H3C S9500交换机对Telnet用户的基本ACL控制配置

一、组网需求：

    通过配置对Telnet用户的ACL控制，可以在登录用户进行口令认证之前将一些恶意或者不合法的连接请求过滤掉，保证设备的安全。

    本文主要介绍对Telnet用户的基本ACL控制配置，仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问交换机。

二、组网图：

三、配置步骤：

软件版本：S9500交换机全系列软件版本

硬件版本：S9500交换机全系列硬件版本

# 定义基本访问控制列表。

[S9500] acl number 2000 match-order config

# 定义子规则。

[S9500-acl-basic-2000] rule 1 permit source 10.110.100.52 0

[S9500-acl-basic-2000] rule 2 permit source 10.110.100.46 0

[S9500-acl-basic-2000] rule 3 deny source any

[S9500-acl-basic-2000] quit

# 进入用户界面视图。

[S9500] user-interface vty 0 4

# 引用访问控制列表。

[S9500-user-interface-vty0-4] acl 2000 inbound

四、配置关键点：

1. Telnet用户的ACL控制功能只能引用基于数字标识的访问控制列表。

2. Telnet用户引用基本访问控制列表或高级访问控制列表时，基于源IP或目的IP地址对呼入/呼出进行限制。因此引用基本访问控制列表和高级访问控制列表子规则时，只有源IP及其掩码、目的IP及其掩码、time-range参数有效。类似的，Telnet用户引用二层访问控制列表时，基于源MAC地址对呼入/呼出进行限制。因此引用二层访问控制列表子规则时，只有源MAC及其掩码、time-range参数有效。