訪問控制列表與SSH結合使用,為網路裝置保駕護航,提高安全性

北根娃發表於2020-07-14

通過之前的文章簡單介紹了華為交換機如何配置SSH遠端登入,在一些工作場景,需要特定的IP地址段能夠SSH遠端訪問和管理網路裝置,這樣又需要怎麼配置呢?下面通過一個簡單的案例帶著大家去了解一下。

要實現這個功能其實很簡單,我們只需要把允許訪問的IP流量放通,其他IP流量禁止就能實現了。這裡使用ACL就能輕鬆實現了。

什麼是ACL?

ACL(Access Control List)訪問控制列表,是由一條或多條規則組成的集合。ACL本質上是一種報文過濾器,規則是過濾器的濾芯。基於ACL規則定義方式,可以將ACL分為基本ACL、高階ACL、二層ACL等種類。

ACL應用原則

  1. 標準ACL,儘量用在靠近目的點
  2. 擴充套件ACL,儘量用在靠近源的地方(可以保護頻寬和其他資源)
  3. 方向:在應用時,一定要注意方向

案例分享

拓撲圖

在這裡插入圖片描述

描述: 機房交換機不允許非管理網路SSH登入。上述拓撲中PC2屬於管理網路,能遠端SSH登入交換機SW1。而PC3不需要管理網路不能SSH登入交換機SW1.

配置思路

  1. 建立VLAN10和20,併為VLANIF10和20配置IP地址。
  2. 分別為PC2和PC3配置IP地址及閘道器IP,並加入對應的VALN中。
  3. 在SW1上配置SSH遠端登入。
  4. 配置ACL,允許管理網路遠端登入,禁用非管理網路登入。

關鍵配置

建立VLAN10和20,併為VLANIF10和20配置IP地址。

[SW1]vlan batch 10 20  #建立 vlan 10 20
[SW1]interface Vlanif 10 #進入vlan10配置模式
[SW1-Vlanif10]ip address  192.168.10.254 24 #配置vlan10 IP地址
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24 

分別為PC2和PC3配置IP地址及閘道器IP,並加入對應的VALN中。

[SW1]interface GigabitEthernet 0/0/24 #進入介面模式
[SW1-GigabitEthernet0/0/24]port link-type access #配置介面模式為access
[SW1-GigabitEthernet0/0/24]port default vlan 10 #把介面加入到vlan10中
[SW1]interface GigabitEthernet 0/0/23 
[SW1-GigabitEthernet0/0/23]port link-type access 
[SW1-GigabitEthernet0/0/23]port default vlan 20

在SW1上配置SSH遠端登入。

關於SW1上的SSH遠端登入配置,可以參考這篇文章

配置ACL,允許管理網路遠端登入,禁用非管理網路登入。

[SW1]acl name ssh_kongzhi 2001 #定義acl名稱為ssh_kongzhi
#匹配允許192.168.10網路的流量
[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255 
[SW1-acl-basic-ssh_kongzhi]rule  10 deny #禁止其他網路流量

#在vty介面應用acl 2001
[SW1-ui-vty0-4]acl  2001 inbound 

通過以上的ACL訪問控制列表,就能完美的把允許的流量放行,其他的流量就禁止。其中ACL還有很多的應用場景。感興趣的小夥伴們可以深入探討。

相關文章