:群众号【 网络 技术干货 圈】
作者 :圈圈
经过之前的文章便捷引见了华为 替换机 如何性能SSH远程登录,在一些上班场景,须要特定的IP地址段能够SSH远程访问和治理网络设施,这样又须要怎样性能呢?上方经过一个便捷的案例带着大家去了解一下。
要成功这特性能其实很便捷,咱们只有要把准许访问的IP流量放通,其余IP流量制止就能成功了。这里经常使用L就能轻松成功了。
什么是ACL?
ACL(Access Control List)访问控制列表,是由一条或多条规定组成的汇合。ACL实质上是一种报文过滤器,规定是过滤器的滤芯。基于ACL规定定义形式,可以将ACL分为基本ACL、初级ACL、二层ACL等种类。
ACL运行准则
规范ACL,尽量用在接近目标点
裁减ACL,尽量用在接近源的中央(可以包全带宽和其余资源)
方向:在运行时,必定要留意方向
案例分享
拓扑图
形容: 机房替换机不准许非治理网络SSH登录。上述拓扑中PC2属于治理网络,能远程SSH登录替换机SW1。而PC3不须要治理网络不能SSH登录替换机SW1.
性能思绪
创立10和20,并为VLANIF10和20性能IP地址。
区分为PC2和PC3性能IP地址及网关IP,并参与对应的VALN中。
在SW1上性能SSH远程登录。
性能ACL,准许治理网络远程登录,禁用非治理网络登录。
关键性能
创立VLAN10和20,并为VLANIF10和20性能IP地址。
[SW1]vlanbatch1020#创立vlan1020[SW1]interfaceVlanif10#进入vlan10性能形式[SW1-Vlanif10]ipdress192.168.10.25424#性能vlan10IP地址[SW1]interfaceVlanif20[SW1-Vlanif20]ipaddress192.168.20.25424
区分为PC2和PC3性能IP地址及网关IP,并参与对应的VALN中。
[SW1]interfaceGigabithernet0/0/24#进入接口形式[SW1-GigabitEthernet0/0/24]portlink-typeaccess#性能接口形式为access[SW1-GigabitEthernet0/0/24]portdefaultvlan10#把接口参与到vlan10中[SW1]interfaceGigabitEthernet0/0/23[SW1-GigabitEthernet0/0/23]portlink-typeaccess[SW1-GigabitEthernet0/0/23]portdefaultvlan20
在SW1上性能SSH远程登录。
性能ACL,准许治理网络远程登录,禁用非治理网络登录。
[SW1]aclnamessh_kongzhi2001#定义acl称号为ssh_kongzhi#婚配准许192.168.10网络的流量[SW1-acl-b-ssh_kongzhi]rule5permitsource192.168.10.00.0.0.255[SW1-acl-basic-ssh_kongzhi]rule10deny#制止其余网络流量#在vty接口运行acl2001[SW1-ui-vty0-4]acl2001inbound
经过以上的ACL访问控制列表,就能完美的把准许的流量放行,其余的流量就制止。其中ACL还有很多的运行场景。感兴味的小同伴们可以深化讨论。
原文题目:访问控制列表与SSH联合经常使用,为网络设施保驾护航,提高安保性