詳解ACL限制SSH、Telnet遠程登錄及抓包實驗

小編：霸主更新時間：2022-05-18 11:03

組網要求：SW2、SW3交換機與SW1連接，為了保證核心交換機SW1的安全，要求在SW1上配置SSH，允許SW2通過遠程登錄，不允許其他交換機遠程登錄。在SW2上配置Telnet，允許PC1遠程登錄。

一、eNSP實際操作視頻：

二、主要知識點：

Telnet缺少安全的認證方式，而且傳輸過程采用TCP進行明文傳輸，存在很大的安全隱患。單純提供Telnet服務容易招致DoS（Deny of Service）、主機IP地址欺騙、路由欺騙等惡意攻擊。

隨著人們對網絡安全的重視，傳統的Telnet和FTP通過明文傳送密碼和數據的方式，已經慢慢不被人接受。SSH（Secure Shell）是一個網絡安全協議，通過對網絡數據的加密，解決了這個問題。它在一個不安全的網絡環境中，提供了安全的遠程登錄和其他安全網絡服務。

SSH通過TCP進行數據交互，它在TCP之上構建了一個安全的通道。另外SSH服務除了支持標準端口22外，還支持其他服務端口，以防止受到非法攻擊。

STelnet

STelnet是基于SSH的安全Telnet服務。與Telnet相比，SSH服務器通過對客戶端進行認證及雙向的數據加密，為網絡終端訪問提供了安全的服務。

三、IP設置：

PC1:192.168.10.10/24

SW1：vlanif1：192.168.10.1/24

SW2:vlanif1：192.168.10.2/24

SW3:vlanif1：192.168.10.3/24

四、SW1的主要配置文件：

sysname SW1

acl number 2000

rule 5 permit source 192.168.10.2 0

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple admin

local-user admin service-type http

local-user sshsw1 password cipher %NS[+B0ZNI]NZPO3JBXBHA!! #創建SSH用戶，用戶名為：sshsw1,配置的密碼為123456

local-user sshsw1 privilege level 15 #sshsw1的權限為15級為最高級

local-user sshsw1 service-type ssh #本地用戶的服務類型為ssh

interface Vlanif1

ip address 192.168.10.1 255.255.255.0

stelnet server enable #啟用Stelnet服務

ssh user sshsw1

ssh user sshsw1 authentication-type password #ssh的認證類型為密碼認證

ssh user sshsw1 service-type stelnet #ssh的服務類型為stelnet

rsa local-key-pair create #生成本地秘鑰對，當其他交換機第一次訪問時，要在客戶機上執行ssh client first-time enable 命令，下載秘鑰

user-interface con 0

user-interface vty 0 4

acl 2000 inbound #只允許訪問控制列表允許的源地址訪問用戶界面，其他默認地被拒絕

authentication-mode aaa #用戶界面的認證方式為aaa

protocol inbound ssh #訪問的協議為ssh

return

五、SW2的主要配置文件：

sysname SW2

acl number 2000

rule 5 permit source 192.168.10.10 0

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple admin

local-user admin service-type http

local-user telsw2 password cipher %NS[+B0ZNI]NZPO3JBXBHA!!

local-user telsw2 privilege level 15

local-user telsw2 service-type telnet

interface Vlanif1

ip address 192.168.10.2 255.255.255.0

user-interface con 0

user-interface vty 0 4

acl 2000 inbound

authentication-mode aaa

return

六：驗證結果

1、在SW2上遠程登錄SW1

[SW2]stelnet 192.168.10.1

Please input the username:sshsw1

Trying 192.168.10.1 ...

Press CTRL+K to abort

Connected to 192.168.10.1 ...

The server's public key does not match the one catched before.

The server is not authenticated. Continue to access it? [Y/N]:y

Update the server's public key now? [Y/N]:

Dec 29 2020 13:43:45-08:00 SW2 %%01SSH/4/CONTINUE_KEYEXCHANGE(l)[0]:The server h

ad not been authenticated in the process of exchanging keys. When deciding wheth

er to continue, the user chose Y.y

Dec 29 2020 13:43:46-08:00 SW2 %%01SSH/4/UPDATE_PUBLICKEY(l)[1]:When deciding wh

ether to update the key 192.168.10.1 which already existed, the user chose Y.

Enter password:

Info: The max number of VTY users is 5, and the number

of current VTY users on line is 1.

The current login time is 2020-12-29 13:43:50.

2、在SW3上遠程登錄SW2

telnet 192.168.10.2

Trying 192.168.10.2 ...

Press CTRL+K to abort

因為SW2做了ACL,只允許PC1遠程登錄。

本實驗是通過華為模擬器eNSP1.3.00.100版（最新版）完成。該軟件還包含CE、CX、NE40E、NE5000E、NE9000E、USG6000V的設備IOS，可完成復雜網絡測試，需要該模擬器的朋友，可以轉發此文關注小編，私信小編【666】即可獲得。

上一篇：機頂盒/路由器等設備中的應用(路由器和機頂盒) 下一篇：別讓網線限制了網速(網線有限制網速嗎)

看片91_日日综合_成人黄色短视频在线观看_91视频 - v11=Av_国产高潮失禁喷水爽到抽搐视频_天天都色视频

詳解ACL限制SSH、Telnet遠程登錄及抓包實驗

STelnet