公司可能為了安全考慮，只允許IT管理員的IP地址登錄到此交換機。那么該怎么實現(xiàn)呢？

ACL簡介

訪問控制列表ACL（Access Control List）是由一條或多條規(guī)則組成的集合。所謂規(guī)則，是指描述報文匹配條件的判斷語句，這些條件可以是報文的源地址、目的地址、端口號等。

ACL本質(zhì)上是一種報文過濾器，規(guī)則是過濾器的濾芯。設(shè)備基于這些規(guī)則進行報文匹配，可以過濾出特定的報文，并根據(jù)應(yīng)用ACL的業(yè)務(wù)模塊的處理策略來允許或阻止該報文通過。

基于ACL規(guī)則定義方式，可以將ACL分為基本ACL、高級ACL、二層ACL等種類。二層ACL根據(jù)以太網(wǎng)幀頭信息來定義規(guī)則，如源MAC地址、目的MAC地址、VLAN、二層協(xié)議類型等，對IPv4和IPv6報文進行過濾。與基本ACL和高級ACL相比，這兩類ACL基于三層、四層信息進行報文過濾，而二層ACL基于二層信息進行報文過濾。例如，當希望對不同MAC地址、不同VLAN的報文進行過濾時，則可以配置二層ACL。

實現(xiàn)步驟

1：設(shè)置ACL

2：在虛擬接口telnet下調(diào)用基本ACL。

ACL可以這樣寫。

#acl 2000//2000基本ACL，匹配源地址
#step 5
#rule permeit source 192.168.1.1 0 //只允許源地址是192.168.1.1的IP地址訪問Telnet
#rule deny

//重要?。。。∵@里補充一點，這里的IP地址后面的0是通配符掩碼，不是反掩碼。0代表，0.0.0.0，這代表全部匹配，意味著這是一個IP地址192.168.1.1，換成其他192.168.1.2就不可以了。假如讀者需要本實驗1網(wǎng)段1-254 都可以訪問，那么后面的通配符就要變成，0.0.0.255，0代表精確匹配，255代表模糊匹配。

具體原因可以參考本篇文章最后。ACL的應(yīng)用特別廣泛，好好學習天天向上 哈哈哈哈哈~~~~

本次實驗過程以及目的

通過，三個交換機各自設(shè)置了IP地址，并且在S2交換機上開啟了Telnet，我們設(shè)置了ACL訪問控制以后，在S1和S3上試圖Telnet   S2的交換機，通過設(shè)置ACL，我們發(fā)現(xiàn)只有ACL允許的192.168.1.1（也就是S1交換機）可以登錄此交換機。

S1#

#
sysname S1
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.1 255.255.255.0
#

S2#

 
<Huawei>system-view 
Enter system view, return user view with Ctrl+Z.
[Huawei]undo info-center enable 
Info: Information center is disabled.
[Huawei]sysname S2
[S2]interface Vlanif 1	//配置IP地址
[S2-Vlanif1]ip address 192.168.1.254 24
[S2-Vlanif1]quit 
[S2]acl 2000 //ACL2000，是基本ACL的第一個，范圍是2000-2999
[S2-acl-basic-2000]rule permit source 192.168.1.1 0//允許192.168.1.1通過
[S2-acl-basic-2000]rule deny //拒絕其他所有IP
[S2-acl-basic-2000]quit //退出
[S2]user-interface vty 0 4 //配置Telnet，同時配置5個用戶
[S2-ui-vty0-4]authentication-mode aaa //認證模式是AAA
[S2-ui-vty0-4]user privilege level 15	//用戶等級
[S2-ui-vty0-4]protocol inbound telnet 		
[S2-ui-vty0-4]acl 2000 inbound 	//應(yīng)用ACL
[S2-ui-vty0-4]quit 
[S2]aaa 	
[S2-aaa]local-user admin password cipher abc123456 privilege level 15//設(shè)置用戶名和密碼
[S2-aaa]local-user admin service-type telnet  //設(shè)置這個admin用戶用來Telnet

S3#

#
sysname S3
#
undo info-center enable
#
interface Vlanif1
 ip address 192.168.1.2 255.255.255.0
#

問題來了，如果有2名IT管理員的話，該如何設(shè)置呢？

只要在ACL再增加一條即可，permit語句，記住Deny語句要寫在最后噢！

總結(jié)一下：事實上ACL的應(yīng)用非常廣泛，比如可以用ACL3000 ，來實現(xiàn)公司打印機，考勤機，只允許管理員或者特定人群訪問，就可以用這種方式，從而提高了數(shù)據(jù)安全性。

• 0.0.0.0 通配符是全0的時候，意味這這是一個固定的IP地址，是精確的，比如192.168.251.82.
• 0.0.0.255 通配符是這樣的時候，意味這是一個網(wǎng)段的地址，是整個網(wǎng)段，比如192.168.251.1-192.168.251.254 （192.168.251.0）
• 0.0.255.255通配符是這樣的時候，意味這網(wǎng)段地址匹配的是這樣的，192.168.0.0 

題外話：

通配符掩碼作為ACL中重要的一部分，是路由器或者交換機在進行訪問控制時必不可少的重要部件，那么什么是通配符掩碼呢？

通配符掩碼：路由器使用通配符掩碼與原地址或者是目標地址一起來分辨匹配的地址范圍，在訪問控制列表中，將通配符掩碼中設(shè)置為1 的表示本位可以忽略ip地址中的對應(yīng)位，設(shè)置成0 的表示必須精確的匹配ip地址中的對應(yīng)位。

舉個例子，假如有這樣一條規(guī)則，12.0.0.0     反掩碼是8.0.0.1，那么它本身代表的IP地址是？

我們這樣來看：

• 12.0.0.1 換成二進制，為00001100.00000000.00000000.00000001
• 8.0.0.1換成二進制，   為00001000.00000000.00000000.00000001

也就是說，8.0.0.1這個通配符掩碼，bit位為0位的，要和上面IP地址對應(yīng)一致。

通俗一點就是說，通配符是0位的，上面的0或者1就不能變，也就是0.0.0.0為什么是一個精確的IP地址的原因。

例如：192.168.10.1 /0.0.0.0  即代表，這是精確的一個IP地址。

通配符是1位的，可以取值“0”或者“1”

那么本例這條規(guī)則代表的IP地址就出來了，

• 00000100.00000000.00000000.00000000 即：4.0.0.0
• 00001100.00000000.00000000.00000000 即：12.0.0.0
• 00000100.00000000.00000000.00000001 即：4.0.0.1
• 00001100.00000000.00000000.00000001 即：12.0.0.1

即，這條反掩碼代表了這4個IP地址。

相關(guān)推薦：

華為交換機怎么新增telnet用戶? 交換機添加telnet用戶并登陸的技巧

最新評論