來源：公眾號(hào)【網(wǎng)絡(luò)技術(shù)干貨圈】

作者：圈圈

ID：wljsghq

通過之前的文章簡(jiǎn)單介紹了華為交換機(jī)如何配置SSH遠(yuǎn)程登錄，在一些工作場(chǎng)景，需要特定的IP地址段能夠SSH遠(yuǎn)程訪問和管理網(wǎng)絡(luò)設(shè)備，這樣又需要怎么配置呢？下面通過一個(gè)簡(jiǎn)單的案例帶著大家去了解一下。

要實(shí)現(xiàn)這個(gè)功能其實(shí)很簡(jiǎn)單，我們只需要把允許訪問的IP流量放通，其他IP流量禁止就能實(shí)現(xiàn)了。這里使用ACL就能輕松實(shí)現(xiàn)了。

什么是ACL？

ACL（Access Control List）訪問控制列表，是由一條或多條規(guī)則組成的集合。ACL本質(zhì)上是一種報(bào)文過濾器，規(guī)則是過濾器的濾芯。基于ACL規(guī)則定義方式，可以將ACL分為基本ACL、高級(jí)ACL、二層ACL等種類。

ACL應(yīng)用原則

標(biāo)準(zhǔn)ACL，盡量用在靠近目的點(diǎn)

擴(kuò)展ACL，盡量用在靠近源的地方（可以保護(hù)帶寬和其他資源）

方向：在應(yīng)用時(shí)，一定要注意方向

案例分享

拓?fù)鋱D

描述: 機(jī)房交換機(jī)不允許非管理網(wǎng)絡(luò)SSH登錄。上述拓?fù)渲蠵C2屬于管理網(wǎng)絡(luò)，能遠(yuǎn)程SSH登錄交換機(jī)SW1。而PC3不需要管理網(wǎng)絡(luò)不能SSH登錄交換機(jī)SW1.

配置思路

創(chuàng)建VLAN10和20，并為VLANIF10和20配置IP地址。

分別為PC2和PC3配置IP地址及網(wǎng)關(guān)IP,并加入對(duì)應(yīng)的VALN中。

在SW1上配置SSH遠(yuǎn)程登錄。

配置ACL，允許管理網(wǎng)絡(luò)遠(yuǎn)程登錄，禁用非管理網(wǎng)絡(luò)登錄。

關(guān)鍵配置

創(chuàng)建VLAN10和20，并為VLANIF10和20配置IP地址。

[SW1]vlanbatch1020#創(chuàng)建vlan1020
[SW1]interfaceVlanif10#進(jìn)入vlan10配置模式
[SW1-Vlanif10]ipaddress192.168.10.25424#配置vlan10IP地址
[SW1]interfaceVlanif20
[SW1-Vlanif20]ipaddress192.168.20.25424

分別為PC2和PC3配置IP地址及網(wǎng)關(guān)IP,并加入對(duì)應(yīng)的VALN中。

[SW1]interfaceGigabitEthernet0/0/24#進(jìn)入接口模式
[SW1-GigabitEthernet0/0/24]portlink-typeaccess#配置接口模式為access
[SW1-GigabitEthernet0/0/24]portdefaultvlan10#把接口加入到vlan10中
[SW1]interfaceGigabitEthernet0/0/23
[SW1-GigabitEthernet0/0/23]portlink-typeaccess
[SW1-GigabitEthernet0/0/23]portdefaultvlan20

在SW1上配置SSH遠(yuǎn)程登錄。

配置ACL，允許管理網(wǎng)絡(luò)遠(yuǎn)程登錄，禁用非管理網(wǎng)絡(luò)登錄。

[SW1]aclnamessh_kongzhi2001#定義acl名稱為ssh_kongzhi
#匹配允許192.168.10網(wǎng)絡(luò)的流量
[SW1-acl-basic-ssh_kongzhi]rule5permitsource192.168.10.00.0.0.255
[SW1-acl-basic-ssh_kongzhi]rule10deny#禁止其他網(wǎng)絡(luò)流量

#在vty接口應(yīng)用acl2001
[SW1-ui-vty0-4]acl2001inbound

通過以上的ACL訪問控制列表，就能完美的把允許的流量放行，其他的流量就禁止。其中ACL還有很多的應(yīng)用場(chǎng)景。感興趣的小伙伴們可以深入探討。