通过之前的文章简单介绍了华为交换机如何配置SSH远程登录,在一些工作场景,需要特定的IP地址段能够SSH远程访问和管理网络设备,这样又需要怎么配置呢?下面通过一个简单的案例带着大家去了解一下。
要实现这个功能其实很简单,我们只需要把允许访问的IP流量放通,其他IP流量禁止就能实现了。这里使用ACL就能轻松实现了。
什么是ACL?
ACL(Access Control List)访问控制列表,是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器,规则是过滤器的滤芯。基于ACL规则定义方式,可以将ACL分为基本ACL、高级ACL、二层ACL等种类。
ACL应用原则
- 标准ACL,尽量用在靠近目的点
- 扩展ACL,尽量用在靠近源的地方(可以保护带宽和其他资源)
- 方向:在应用时,一定要注意方向
案例分享
拓扑图
描述: 机房交换机不允许非管理网络SSH登录。上述拓扑中PC2属于管理网络,能远程SSH登录交换机SW1。而PC3不需要管理网络不能SSH登录交换机SW1.
配置思路
- 创建VLAN10和20,并为VLANIF10和20配置IP地址。
- 分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。
- 在SW1上配置SSH远程登录。
- 配置ACL,允许管理网络远程登录,禁用非管理网络登录。
关键配置
创建VLAN10和20,并为VLANIF10和20配置IP地址。
[SW1]vlan batch 10 20 #创建 vlan 10 20
[SW1]interface Vlanif 10 #进入vlan10配置模式
[SW1-Vlanif10]ip address 192.168.10.254 24 #配置vlan10 IP地址
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24
分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。
[SW1]interface GigabitEthernet 0/0/24 #进入接口模式
[SW1-GigabitEthernet0/0/24]port link-type access #配置接口模式为access
[SW1-GigabitEthernet0/0/24]port default vlan 10 #把接口加入到vlan10中
[SW1]interface GigabitEthernet 0/0/23
[SW1-GigabitEthernet0/0/23]port link-type access
[SW1-GigabitEthernet0/0/23]port default vlan 20
在SW1上配置SSH远程登录。
关于SW1上的SSH远程登录配置,可以参考这篇文章
配置ACL,允许管理网络远程登录,禁用非管理网络登录。
[SW1]acl name ssh_kongzhi 2001 #定义acl名称为ssh_kongzhi
#匹配允许192.168.10网络的流量
[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255
[SW1-acl-basic-ssh_kongzhi]rule 10 deny #禁止其他网络流量
#在vty接口应用acl 2001
[SW1-ui-vty0-4]acl 2001 inbound
通过以上的ACL访问控制列表,就能完美的把允许的流量放行,其他的流量就禁止。其中ACL还有很多的应用场景。感兴趣的小伙伴们可以深入探讨。
