H3C 交换机使用ACL限制非法用户通过Telnet登录控制台

前景提示

为了方便管理，企业交换机都会设置Telnet远程登录，以此来通过合法用户和密码登录交换机控制台，进行各类配置命令操作。交换机开启了Telnet功能后，默认所有ping通网关地址的PC均可以通过Telnet登录交换机，这是我们不希望看到的，所以我们使用ACL访问控制列表对允许的IP地址进行授权。

实验步骤

我们从无到有，设置Telent.

客户端合法IT管理者IP地址是，192.168.251.80/192.168.251.82

Telnet的网关是：192.168.252.253

<H3C>system-view //进入系统视图
System View: return to User View with Ctrl+Z.
[H3C]undo  info-center enable //关闭消息提示
Information center is disabled.
[H3C]telnet server enable //开启Telnet服务，不开启无法使用
[H3C]user-interface vty 0 4 //进入VTY接口，同时配置0-4等5个用户
[H3C-line-vty0-4]authentication-mode scheme //认证模式是Scheme
[H3C-line-vty0-4]user-role level-15 //设置用户角色等级是15级最高
[H3C-line-vty0-4]protocol inbound telnet//用来指定VTY用户界面所支持的协议是Telnet
[H3C-line-vty0-4]quit//退出

[H3C]local-user admin //新增用户admin
New local user added.
[H3C-luser-manage-admin]password simple Admin@h3c123 //设置此用户的密码是Admin@h3c123
[H3C-luser-manage-admin]service-type telnet //该账户服务类型是Telnet
[H3C-luser-manage-admin]quit//退出

[H3C]acl number 3004 //创建高级ACL ，序号是3004（高级ACL，3000-3999）
[H3C-acl-ipv4-adv-3004] rule 0 permit ip source 192.168.251.80 0 destination 192.168.252.253 0
//允许，192.168.251.80指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004] rule 5 permit ip source 192.168.251.82 0 destination 192.168.252.253 0
//允许，192.168.251.82指定地址访问指定地址192.168.252.253
[H3C-acl-ipv4-adv-3004]rule deny ip//拒绝所有IP地址登录

[H3C]telnet server acl 3004 //调用ACL

实验总结

第一点：我上面用的是高级ACL，序号是3000-3999

为什么用高级ACL呢？一般核心交换机会有多个网段，只要可以ping的通交换机的网关，就可以通过它来登录交换机。比如此次实验我的网关地址是192.168.252.253，但是实际上还有其他网关，比如，192.168.230.254。如果不使用高级ACL，那么授权的80/82可以访问交换机上所有网关地址，做了此设置，授权IP就只能登陆指定的192.168.251.252网关了。

（我个人比较喜欢这种方式，哈哈哈）

附上：基本ACL（2000-2999）规则（大多用这个，哈哈哈）

[H3C]acl number 2000
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.80 0
[H3C-acl-ipv4-basic-2000]rule permit source 192.168.251.82 0
[H3C-acl-ipv4-basic-2000]rule deny 
[H3C-acl-ipv4-basic-2000]quit

第二点：IP地址后面的掩码，是通配符掩码，不是子网掩码，更不是反掩码。全0代表唯一的地址，255则代表一整个网段，具体可参考我其他文章。

比如：192.168.1.1 0代表的是指定192.168.1.1这个唯一的IP地址

而192.168.1.0  0.0.0.255则代表192.168.1.0整个网段，即192.168.1.1-192.168.1.255 

小提示：OSPF协议里，在骨干区域宣告网段的时候，也是用的通配符掩码。

第三点：H3C交换机和HUAWEI交换机调用ACL方式稍有不同。

H3C交换机是

[H3C]telnet server acl 3004 //调用ACL，没有inbound

HUAWEI交换机则是

[Huawei-ui-vty0-4]acl 2000 inbound //注意是VTY,接口下调用