• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

直接上图,麻烦看看

2022-07-07提问
  • 0关注
  • 1收藏,1006浏览
粉丝:2人 关注:15人

问题描述:

我核心交换机上 4个 interface Vlan-interface 三层接口,接口下ip,作为网关

我们公司很多人都会网络,他们老是搞我交换机,我擦,经常远程上去

我的需求就是,比如,我4个网关为:1.1.1.1    2.2.2.1    3.3.3.1    4.4.4.1

不想让他们用户通过ssh 22端口或者其他端口远程上来

我acl 应该如何写,禁止网关的22端口,得不影响他们上网哈


组网及组网描述:


6 个回答
已采纳
军刺 二段
粉丝:0人 关注:0人

1.建一条acl

acl 3000

   rule 5 permit sou 自己主机地址 0
   rule 10 deny any

2.acl 3000 应用到ssh

ssh sever acl 3000

粉丝:95人 关注:0人

telnet ssh使用acl只准许指定用户访问

粉丝:180人 关注:1人


对登录用户的控制

通过引用ACL(Access Control List,访问控制列表),可以对访问设备的登录用户进行控制:

·     当未引用ACL、或者引用的ACL不存在、或者引用的ACL为空时,允许所有登录用户访问设备;

·     当引用的ACL非空时,则只有ACL中permit的用户才能访问设备,其它用户不允许访问设备,以免非法用户使用Telnet/SSH访问设备。

关于ACL的详细描述和介绍请参见“ACL和QoS配置指导”中的“ACL”。

用户登录后,可以通过AAA功能来对用户使用的命令行进行授权和计费。

7.1  配置对Telnet/SSH用户的控制

7.1.1  配置准备

确定了对Telnet/SSH的控制策略,包括对哪些源IP、目的IP、源MAC等参数进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。

7.1.2  配置对Telnet/SSH用户的控制

表7-1 配置对Telnet用户的控制

操作

命令

说明

进入系统视图

system-view

-

使用ACL限制哪些Telnet客户端可以访问设备

telnet server acl acl-number

请根据需要选择

缺省情况下,没有使用ACL限制Telnet客户端

telnet server ipv6 acl [ ipv6 ] acl-number

 

表7-2 配置对SSH用户的控制

操作

命令

说明

进入系统视图

system-view

-

使用ACL限制哪些SSH客户端可以访问设备

ssh server acl acl-number

请根据需要选择

缺省情况下,没有使用ACL限制SSH客户端

ssh server acl和ssh server ipv6 acl命令的详细介绍请参见“安全命令参考”中的“SSH”

ssh server ipv6 acl [ ipv6 ] acl-number

 

7.1.3  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问AC。

2. 组网图

图7-1 使用ACL对Telnet用户进行控制

 

3. 配置步骤

# 定义ACL。

<Sysname> system-view

[Sysname] acl basic 2000 match-order config

[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-ipv4-basic-2000] quit

# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问AC。

[Sysname] telnet server acl 2000

7.2  配置对Web用户的控制

通过引用ACL可以对访问设备的Web用户进行控制。只有ACL中permit的用户才能使用Web访问设备,其它用户不允许访问设备,以免非法用户使用Web访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

7.2.1  配置准备

确定了对Web用户的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。

7.2.2  通过源IP对Web用户进行控制

在通过源IP对Web用户进行控制时需要注意,Web登录时用户输入的用户名和密码属于敏感信息,Web登录请求是采用HTTPS的方式发送到Web服务器的。所以,如果ip https acl命令中的ACL规则拒绝客户端通过HTTPS服务访问Web页面,那么该客户端也无法通过HTTP服务访问Web页面。

表7-3 通过源IP对Web用户进行控制

操作

命令

说明

进入系统视图

system-view

-

引用访问控制列表对Web用户进行控制

ip http acl { acl-number | name acl-name }

HTTP和HTTPS是两种独立的登录方式,请根据需要二者任选其一

ip https acl { acl-number | name acl-name }

 

7.2.3  强制在线Web用户下线

网络管理员可以通过命令行强制在线Web用户下线。

表7-4 强制在线Web用户下线

操作

命令

说明

强制在线Web用户下线

free web-users { all | user-id user-id | user-name user-name }

该命令在用户视图下执行

 

7.2.4  配置举例

1. 组网需求

通过源IP对Web用户进行控制,仅允许来自10.110.100.52的Web用户访问AC。

2. 组网图

图7-2 对AC的HTTP用户进行ACL控制

 

3. 配置步骤

# 定义基本访问控制列表。

<Sysname> system-view

[Sysname] acl basic 2030 match-order config

[Sysname-acl-ipv4-basic-2030] rule 1 permit source 10.110.100.52 0

[Sysname-acl-ipv4-basic-2030] quit

# 引用访问控制列表,仅允许来自10.110.100.52的Web用户访问AC。

[Sysname] ip http acl 2030

7.3  配置对NMS控制

7.3.1  配置准备

确定了对NMS的控制策略,包括对哪些源IP进行控制,控制的动作是允许访问还是拒绝访问,即配置好ACL。

7.3.2  配置对NMS的控制

表7-5 SNMPv1/SNMPv2c版本配置对NMS的控制

操作

命令

说明

进入系统视图

system-view

-

在配置SNMP团体名的命令中引用ACL

VACM方式:

snmp-agent community { read | write } [ simple | cipher ] community-name [ mib-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

根据网管用户运行的SNMP版本及配置习惯,可以在团体名、组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP”

配置SNMP团体名或用户名时二者选其一

RBAC方式:

snmp-agent community [ simple | cipher ] community-name user-role role-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

在配置SNMPv1/SNMPv2c用户名的命令中引用ACL

snmp-agent group { v1 | v2c } group-name [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

snmp-agent usm-user { v1 | v2c } user-name group-name [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

 

表7-6 SNMPv3版本配置对NMS的控制

操作

命令

说明

进入系统视图

system-view

-

在配置SNMPv3组名的命令中引用ACL

snmp-agent group v3 group-name [ authentication | privacy ] [ read-view view-name ] [ write-view view-name ] [ notify-view view-name ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

根据网管用户运行的SNMP版本及配置习惯,可以在组名或者用户名配置时引用访问控制列表,详细介绍请参见“网络管理和监控配置指导”中的“SNMP”

在配置SNMPv3用户名的命令中引用ACL

VACM方式:

snmp-agent usm-user v3 user-name group-name [ remote { ipv4-address | ipv6 ipv6-address } ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | 3des | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

RBAC方式:

snmp-agent usm-user v3 user-name user-role role-name [ remote { ipv4-address | ipv6 ipv6-address } ] [ { cipher | simple } authentication-mode { md5 | sha } auth-password [ privacy-mode { aes128 | 3des | des56 } priv-password ] ] [ acl { ipv4-acl-number | name ipv4-acl-name } | acl ipv6 { ipv6-acl-number | name ipv6-acl-name } ] *

 

7.3.3  配置举例

1. 组网需求

通过源IP对NMS进行控制,仅允许来自10.110.100.52和10.110.100.46的NMS访问AC。

2. 组网图

图7-3 使用ACL对NMS进行控制

 

3. 配置步骤

# 定义基本ACL。

<Sysname> system-view

[Sysname] acl basic 2000 match-order config

[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-ipv4-basic-2000] quit

# 引用ACL,仅允许来自10.110.100.52和10.110.100.46的NMS访问AC。

[Sysname] snmp-agent community read aaa acl 2000

[Sysname] snmp-agent group v2c groupa acl 2000

[Sysname] snmp-agent usm-user v2c usera groupa acl 2000

7.4  配置命令行授权功能

7.4.1  配置步骤

缺省情况下,用户登录设备后可以使用的命令行由用户拥有的用户角色决定。当用户线采用AAA认证方式并配置命令行授权功能后,用户可使用的命令行将受到用户角色和AAA授权的双重限制。用户每执行一条命令都会进行授权检查,只有授权成功的命令才被允许执行。

要使配置的命令行授权功能生效,还需要在ISP域视图下配置命令行授权方法。命令行授权方法可以和login用户的授权方法相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。

表7-7 配置命令行授权功能

操作

命令

说明

进入系统视图

system-view

-

进入用户线视图

line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入用户线类视图

line class { console | vty }

设置登录用户的认证方式为通过AAA认证

authentication-mode scheme

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证);用户通过VTY用户线登录,认证方式为password

用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值

使能命令行授权功能

command authorization

缺省情况下,没有使能命令行授权功能,即用户登录后执行命令行不需要授权

如果用户类视图下使能了命令行授权功能,则该类型用户线视图都使能命令行授权功能,并且在该类型用户线视图下将无法禁用命令行授权功能

 

7.4.2  配置举例

1. 组网需求

为了保证AC的安全,需要对登录用户执行命令的权限进行限制:用户Host A登录AC后,输入的命令必须先获得HWTACACS服务器的授权,才能执行。否则,不能执行该命令。如果HWTACACS服务器故障导致授权失败,则采用本地授权。

2. 组网图

图7-4 命令行授权配置组网图

 

3. 配置步骤

# 在AC上配置IP地址,以保证AC和Host A、AC和HWTACACS server之间互相路由可达。(配置步骤略)

# 开启AC的Telnet服务器功能,以便用户访问。

<Sysname> system-view

[Sysname] telnet server enable

# 配置用户登录AC时,需要输入用户名和密码进行AAA认证,可以使用的命令由认证结果决定。

[Sysname] line vty 0 4

[Sysname-line-vty0-4] authentication-mode scheme

# 使能命令行授权功能,限制用户只能使用授权成功的命令。

[Sysname-line-vty0-4] command authorization

[Sysname-line-vty0-4] quit

# 配置HWTACACS方案:授权服务器的IP地址,TCP端口号为192.168.2.20:49(该端口号必须和HWTACACS服务器上的设置一致),报文的加密密码是expert,登录时不需要输入域名,使用缺省域。

[Sysname] hwtacacs scheme tac

[Sysname-hwtacacs-tac] primary authentication 192.168.2.20 49

[Sysname-hwtacacs-tac] primary authorization 192.168.2.20 49

[Sysname-hwtacacs-tac] key authentication simple expert

[Sysname-hwtacacs-tac] key authorization simple expert

[Sysname-hwtacacs-tac] user-name-format without-domain

[Sysname-hwtacacs-tac] quit

# 配置缺省域的命令行授权AAA方案,使用HWTACACS方案。

[Sysname] domain system

[Sysname-isp-system] authentication login hwtacacs-scheme tac local

[Sysname-isp-system] authorization command hwtacacs-scheme tac local

[Sysname-isp-system] quit

# 配置本地认证所需参数:创建本地用户monitor,密码为明文的123,可使用的服务类型为telnet,用户角色为level-1。

[Sysname] local-user monitor

[Sysname-luser-manage-monitor] password simple 123

[Sysname-luser-manage-monitor] service-type telnet

[Sysname-luser-manage-monitor] authorization-attribute user-role level-1

7.5  配置命令行计费功能

7.5.1  配置步骤

当用户线采用AAA认证方式并配置命令行计费功能后,系统会将用户执行过的命令记录到HWTACACS服务器上,以便集中监视用户对设备的操作。命令行计费功能生效后,如果没有配命令行授权功能,则用户执行的每一条合法命令都会发送到HWTACACS服务器上做记录;如果配置了命令行授权功能,则用户执行的并且授权成功的命令都会发送到HWTACACS服务器上做记录。

要使配置的命令行计费功能生效,还需要在ISP域视图下配置命令行计费方法。命令行计费方法、命令行授权方法、login用户的授权方法可以相同,也可以不同。相关详细介绍请参见“安全配置指导”中的“AAA”。

表7-8 配置命令行计费功能

操作

命令

说明

进入系统视图

system-view

-

进入用户线视图

line { first-number1 [ last-number1 ] | { console | vty } first-number2 [ last-number2 ] }

二者选其一

·     用户线视图下的配置优先于用户线类视图下的配置

·     用户线视图下的配置只对该用户线生效

·     用户线类视图下的配置修改不会立即生效,当用户下次登录后所修改的配置值才会生效

·     用户线视图下的属性配置为缺省值时,将采用用户线类视图下配置的值。如果用户线类视图下的属性配置也为缺省值时,则直接采用该属性的缺省值

进入用户线类视图

line class { console | vty }

设置登录用户的认证方式为通过AAA认证

authentication-mode scheme

缺省情况下,用户通过Console口登录,认证方式为none(即不需要进行认证);用户通过VTY用户线登录,认证方式为password

用户线视图下,对authentication-mode和protocol inbound进行关联绑定,当两条命令中的任意一条配置了非缺省值,那么另外一条取缺省值

使能命令行计费功能

command accounting

缺省情况下,没有使能命令行计费功能,即计费服务器不会记录用户执行的命令行

如果用户类视图下使能了命令行计费功能,则该类型用户线视图都使能命令行计费功能,并且在该类型用户线视图下将无法禁用命令行计费功能

 

7.5.2  配置举例

1. 组网需求

为便于集中控制、监控用户对AC的操作,需要将登录用户执行的命令发送到HWTACACS服务器进行记录。

2. 组网图

图7-5 命令行计费配置组网图

 

3. 配置步骤

# 开启AC的Telnet服务器功能,以便用户访问。

<Sysname> system-view

[Sysname] telnet server enable

# 配置使用Console口登录AC的用户执行的命令需要发送到HWTACACS服务器进行记录。

[Sysname] line console 0

[Sysname-line-console0] command accounting

[Sysname-line-console0] quit

# 配置使用Telnet或者SSH登录的用户执行的命令需要发送到HWTACACS服务器进行记录。

[Sysname] line vty 0 4

[Sysname-line-vty0-4] command accounting

[Sysname-line-vty0-4] quit

# 配置HWTACACS方案:计费服务器的IP地址:TCP端口号为192.168.2.20:49,报文的加密密码是expert,登录时不需要输入域名,使用缺省域。

[Sysname] hwtacacs scheme tac

[Sysname-hwtacacs-tac] primary accounting 192.168.2.20 49

[Sysname-hwtacacs-tac] key accounting simple expert

[Sysname-hwtacacs-tac] user-name-format without-domain

[Sysname-hwtacacs-tac] quit

# 配置缺省域的命令行计费AAA方案,使用HWTACACS方案。

[Sysname] domain system

[Sysname-isp-system] accounting command hwtacacs-scheme tac

[Sysname-isp-system] quit

退 二段
粉丝:0人 关注:0人

acl number 3210

 rule 0 deny ip xxxx 端口 xxxx


2、将ACL下发到端口:

int range gi 1/0/1 gi 1/0/24

packet-filter 3210 inbound

packet-filter 3210 outbound

quit

xxxx 就是指的我 网关ip 对吗

我叫高启强 发表时间:2022-07-07
粉丝:0人 关注:0人

写一条acl只允许自己电脑的地址作为源地址目的地址为any,拒绝其他源地址访问目的地址,匹配到telnet

粉丝:171人 关注:0人

您好,参考

7.1.3  配置举例

1. 组网需求

通过源IP对Telnet进行控制,仅允许来自10.110.100.52和10.110.100.46的Telnet用户访问AC。

2. 组网图

图7-1 使用ACL对Telnet用户进行控制

 

3. 配置步骤

# 定义ACL。

<Sysname> system-view

[Sysname] acl basic 2000 match-order config

[Sysname-acl-ipv4-basic-2000] rule 1 permit source 10.110.100.52 0

[Sysname-acl-ipv4-basic-2000] rule 2 permit source 10.110.100.46 0

[Sysname-acl-ipv4-basic-2000] quit

# 引用ACL,允许源地址为10.110.100.52和10.110.100.46的Telnet用户访问AC。

[Sysname] telnet server acl 2000

7.2  配置对Web用户的控制

通过引用ACL可以对访问设备的Web用户进行控制。只有ACL中permit的用户才能使用Web访问设备,其它用户不允许访问设备,以免非法用户使用Web访问设备。关于ACL的定义请参见“ACL和QoS配置指导”中的“ACL”。

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明