來源：公眾號【網(wǎng)絡(luò)技術(shù)干貨圈】

作者：圈圈

ID：wljsghq

通過之前的文章簡單介紹了華為交換機如何配置SSH遠程登錄，在一些工作場景，需要特定的IP地址段能夠SSH遠程訪問和管理網(wǎng)絡(luò)設(shè)備，這樣又需要怎么配置呢？下面通過一個簡單的案例帶著大家去了解一下。

要實現(xiàn)這個功能其實很簡單，我們只需要把允許訪問的IP流量放通，其他IP流量禁止就能實現(xiàn)了。這里使用ACL就能輕松實現(xiàn)了。

什么是ACL？

ACL（Access Control List）訪問控制列表，是由一條或多條規(guī)則組成的集合。ACL本質(zhì)上是一種報文過濾器，規(guī)則是過濾器的濾芯?；贏CL規(guī)則定義方式，可以將ACL分為基本ACL、高級ACL、二層ACL等種類。

ACL應(yīng)用原則

標準ACL，盡量用在靠近目的點

擴展ACL，盡量用在靠近源的地方（可以保護帶寬和其他資源）

方向：在應(yīng)用時，一定要注意方向

案例分享

拓撲圖

描述: 機房交換機不允許非管理網(wǎng)絡(luò)SSH登錄。上述拓撲中PC2屬于管理網(wǎng)絡(luò)，能遠程SSH登錄交換機SW1。而PC3不需要管理網(wǎng)絡(luò)不能SSH登錄交換機SW1.

配置思路

創(chuàng)建VLAN10和20，并為VLANIF10和20配置IP地址。

分別為PC2和PC3配置IP地址及網(wǎng)關(guān)IP,并加入對應(yīng)的VALN中。

在SW1上配置SSH遠程登錄。

配置ACL，允許管理網(wǎng)絡(luò)遠程登錄，禁用非管理網(wǎng)絡(luò)登錄。

關(guān)鍵配置

創(chuàng)建VLAN10和20，并為VLANIF10和20配置IP地址。

[SW1]vlanbatch1020#創(chuàng)建vlan1020
[SW1]interfaceVlanif10#進入vlan10配置模式
[SW1-Vlanif10]ipaddress192.168.10.25424#配置vlan10IP地址
[SW1]interfaceVlanif20
[SW1-Vlanif20]ipaddress192.168.20.25424

分別為PC2和PC3配置IP地址及網(wǎng)關(guān)IP,并加入對應(yīng)的VALN中。

[SW1]interfaceGigabitEthernet0/0/24#進入接口模式
[SW1-GigabitEthernet0/0/24]portlink-typeaccess#配置接口模式為access
[SW1-GigabitEthernet0/0/24]portdefaultvlan10#把接口加入到vlan10中
[SW1]interfaceGigabitEthernet0/0/23
[SW1-GigabitEthernet0/0/23]portlink-typeaccess
[SW1-GigabitEthernet0/0/23]portdefaultvlan20

在SW1上配置SSH遠程登錄。

配置ACL，允許管理網(wǎng)絡(luò)遠程登錄，禁用非管理網(wǎng)絡(luò)登錄。

[SW1]aclnamessh_kongzhi2001#定義acl名稱為ssh_kongzhi
#匹配允許192.168.10網(wǎng)絡(luò)的流量
[SW1-acl-basic-ssh_kongzhi]rule5permitsource192.168.10.00.0.0.255
[SW1-acl-basic-ssh_kongzhi]rule10deny#禁止其他網(wǎng)絡(luò)流量

#在vty接口應(yīng)用acl2001
[SW1-ui-vty0-4]acl2001inbound

通過以上的ACL訪問控制列表，就能完美的把允許的流量放行，其他的流量就禁止。其中ACL還有很多的應(yīng)用場景。感興趣的小伙伴們可以深入探討。