华为NE路由器: ACL应用于Telnet(VTY)、SNMP、FTP、TFTP (绑定vpn实例vpn-instance)
华为NE路由器: ACL应用于Telnet(VTY)、SNMP、FTP、TFTP (绑定vpn实例vpn-instance)
处理流程
Telnet、SNMP、FTP或TFTP登录时:
如果登录用户的地址匹配上的ACL规则是permit,允许此用户登录设备。
如果登录用户的地址匹配上的ACL规则是deny,禁止此用户登录。
如果登录用户的地址匹不在ACL配置规则范围内,禁止此用户登录。
如果ACL不存在规则或是引用的ACL不存在,用户登录不受ACL的控制。
如果ACL没有匹配上任何规则,则FTP的默认行为是deny。
SNMP引用ACL时,若设备接收到团体名为空的报文,那么设备就会直接丢弃报文,记录团体字错误日志,且不进行ACL校验。只有团体名为非空时才会触发ACL校验。
图1 ACL处理流程图-Telnet(VTY)、SNMP、FTP、TFTP
Telnet(VTY)使用ACL举例
某IP承载网,为保障网络接入安全,要求在设备VTY里添加ACL权限,只允许下挂网管VPN内的网管服务器(IP地址为10.0.102.113)可以登录设备。
配置如下:
#
acl 2013 //创建基本ACL,列表号为2013。
rule 5 permit vpn-instance vpna source 10.0.102.113 0 //允许vpna内源IP 10.0.102.113登录。
rule 500 deny //阻止其他一切终端登录设备。
#
user-interface vty 0 4
acl 2013 inbound //对用户界面VTY0~4 的呼入进行限制。
authentication-mode aaa
protocol inbound all
#
user-interface vty 5 14
acl 2013 inbound //对用户界面VTY5~14 的呼入进行限制。
如果是VPN业务内的地址访问设备,需要在ACL里增加VPN实例名。
Telnet(VTY)引用VTY下的ACL的前提条件是等待用户认证通过,如果TCP建连就需要引用ACL需要做相应配置:
如果VTY下的配置的登录类型为SSH登录,需要配置ssh server acl命令。
如果VTY下配置的登录类型是Telnet登录,需要配置telnet server acl命令。
2、本资源基本为原创,部分来源其他付费资源平台或互联网收集,如有侵权请联系及时处理。
3、本站大部分文章的截图来源实验测试环境,请不要在生产环境中随意模仿,以免带来灾难性后果。
转载请保留出处: www.zh-cjh.com珠海陈坚浩博客 » 华为NE路由器: ACL应用于Telnet(VTY)、SNMP、FTP、TFTP (绑定vpn实例vpn-instance)
作者: cjh
手机扫一扫,手机上查看此文章: |
一切源于价值!
其他 模板文件不存在: ./template/plugins/comment/pc/index.htm