telnet登錄交換機(通過telnet登錄交換機)
要求:PC與接入交換機Client間路由可達,Client與服務器Server間路由可達。用戶希望實現對遠程設備Server的管理與維護,不過終端PC與遠程設備Server間不能直接Telnet遠程登錄到Server。用戶可以通過Telnet登錄到Client,再從Client通過Telnet登錄到需要管理的設備Server。為了防止其他非法設備通過Telnet方式登錄Server,配置ACL規則只允許Client通過Telnet方式登錄Server。
一、本節知識點:
ACL:訪問控制列表(Access Control Lists)是應用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數據包可以收、哪些數據包需要拒絕。至于數據包是被接收還是拒絕,可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。
二、配置思路:
1.配置pc1到接入交換機Client路由可達,接入交換機Client到服務器Server可達。
2. 在Server上配置Telnet驗證方式。
3.在Server上配置登錄用戶的相關信息。
3. 在Server上配置ACL規則允許Client1登錄。
4. 從Client上Telnet登錄到Server。
三、IP設置:
交換機:1、pc1:192.168.10.1/24 ,加入vlan 10
2、Client管理地址:192.168.10.254/24
3、Server管理地址:10.10.1.2/24
四、接入交換機Client的配置文件:
#
sysname Client
#
vlan batch 10 20 //創建vlan10和20
#
aaa //aaa 認證方式
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple 123456 //設置本地用戶名admin和密碼123456,用戶名不區分大小寫,密碼區分大小寫
local-user admin privilege level 15 //本地用戶admin的權限級別為15級,最高級
local-user admin service-type telnet //本地用戶admin支持telnet協議
#
interface Vlanif10 //創建vlan10三層接口
ip address 192.168.10.254 255.255.255.0 //設置交換機管理IP地址
#
interface Vlanif20 //創建vlan20三層接口
ip address 10.10.1.1 255.255.255.0 //設置與Server 互通的IP地址
#
interface Ethernet0/0/1
port link-type access
port default vlan 10 //該接口加入到vlan10
#
interface Ethernet0/0/2
port link-type trunk //與server連接的端口為trunk
port trunk allow-pass vlan 20 //只允許vlan20 通過
#
user-interface con 0
user-interface vty 0 4 //Telnet常用于設備管理員登錄,推薦使用AAA認證,設置用戶0-4共5個虛擬用戶界面
authentication-mode aaa //認證方式為aaa
user privilege level 15 //權限級別為最高級15級
#
return
五、服務器Server的配置文件:
#
sysname Server
#
vlan batch 20
#
acl number 2000 //創建基礎訪問控制列表
rule 5 permit source 10.10.1.1 0 //只允許源地址為10.10.1.1的ip通過,其他IP都被拒絕。
#
aaa
authentication-scheme default
authorization-scheme default
accounting-scheme default
domain default
domain default_admin
local-user admin password simple 123456
local-user admin privilege level 15
local-user admin service-type telnet
#
interface Vlanif20
ip address 10.10.1.2 255.255.255.0
#
interface GigabitEthernet0/0/1
port link-type trunk
port trunk allow-pass vlan 20
#
user-interface con 0
user-interface vty 0 4
acl 2000 inbound //訪問控制列表2000被應用到telnet中。
authentication-mode aaa
user privilege level 15
#
return
六、驗證配置結果:
1、 網管PC用Telnet登錄到接入交換機Client,再通過telnet登錄到Server。
