telnet登录限制

原创

yqlmq 2011-10-07 16:53:37 ©著作权

文章标签 主机限制路由 ACL telnet 文章分类 网络安全

©著作权归作者所有：来自51CTO博客作者yqlmq的原创作品，请联系作者获取转载授权，否则将追究法律责任

上图中的四台主机相互都可以远程登录到S3760-A和S3760-B设备上。

现在我们来做一下限制：

1、vlan10用户只允许远程登录到S3760-A设备上，而vlan20的用户不允许远程登录到其中任何一台设备上。

2、vlan30的用户只允许登录到S3760-A设备上，而vlan40用户可以登录到任何设备上。

按照以上的要求，我们可以在两个设备上面配置ACL，最后应用在VTY口，这样就可以达到以上的要求了。

具体配置如下：

设备S3760-A上配置步骤：

S3760-A#configure terminal

S3760-A(config)#interface fastethernet 0/1

S3760-A(config-if)#switchport access vlan 10

S3760-A(config-if)#no shut

S3760-A(config-if)#exit

S3760-A(config)#interface fastethernet 0/2

S3760-A(config-if)#switchport access vlan 20

S3760-A(config-if)#no shut

S3760-A(config-if)#exit

S3760-A(config)#interface fastethernet 0/10

S3760-A(config-if)#no switchport

S3760-A(config-if)#ip address 192.168.1.1 255.255.255.0

S3760-A(config-if)#no shut

S3760-A(config-if)#exit

S3760-A(config)#interface vlan 10

S3760-A(config-if)#ip address 192.168.10.1 255.255.255.0

S3760-A(config-if)#no shut

S3760-A(config-if)#exit

S3760-A(config)#interface vlan 20

S3760-A(config-if)#ip address 192.168.20.1 255.255.255.0

S3760-A(config-if)#no shut

S3760-A(config-if)#exit

S3760-A(config)#ip route 192.168.30.0 255.255.255.0 192.168.1.2

S3760-A(config)#ip route 192.168.40.0 255.255.255.0 192.168.1.2

S3760-A(config)#ip access-list standard 10

S3760-A(config-std-nacl)#deny192.168.20.0 0.0.0.255

S3760-A(config-std-nacl)#permit any

S3760-A(config-std-nacl)#exit

S3760-A(config)#line vty 0 4

S3760-A(config-line)#password 123456

S3760-A(config-line)#access-class 10 in

S3760-A(config.line)#exit

S3760-A(config)#enable secret 123456

S3760-A(config)#

设备S3760-B上配置步骤：

S3760-B#configure terminal.

S3760-B(config)#interface fastethernet 0/1

S3760-B(config-if)#switchport access vlan 30

S3760-B(config-if)#no shut

S3760-B(config-if)#exit

S3760-B(config)#interface fastethernet 0/2

S3760-B(config-if)#switchport access vlan 40

S3760-B(config-if)#no shut

S3760-B(config-if)#exit

S3760-B(config)#interface fastethernet 0/10

S3760-B(config-if)#no switchport

S3760-B(config-if)#ip address 192.168.1.2 255.255.255.0

S3760-B(config-if)#no shut

S3760-B(config-if)#exit

S3760-B(config)#interface vlan 30

S3760-B(config-if)#ip address 192.168.30.1 255.255.255.0

S3760-B(config-if)#no shut

S3760-B(config-if)#exit

S3760-B(config)#interface vlan 40

S3760-B(config-if)#ip address 192.168.40.1 255.255.255.0

S3760-B(config-if)#no shut

S3760-B(config-if)#exit

S3760-B(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1

S3760-B(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.1

S3760-B(config)#ip access-list standard 20

S3760-B(config-std-nacl)#permit 192.168.40.0 0.0.0.255

S3760-B(config-std-nacl)#deny any

S3760-B(config-std-nacl)#exit

S3760-B(config)#line vty 0 4

S3760-B(config-line)#password 123456

S3760-B(config-line)#access-class 20 in

S3760-B(config-line)#exit

S3760-B(config)#enable secret 123456

S3760-B(config)#end

总结：

实验是通过配置ACL并将其应用在VTY端口上，用以防止非法用户登录网络设备从而进行管理。因为用户首先是通过VTY端口进行登录设备的。当用户要登录设备时，首先是进入VTY端口，但是实验中我在VTY端口上应用了ACL，所以用户在进入VTY时就接受 ACL的检查，符合规则的用户就可以登录，不符合规则的就禁止登录了、、、