配置ACL限制用户通过Telnet登录设备示例
组网需求
如图1所示,PC与设备之间路由可达,用户希望简单方便的配置和管理远程设备,可以在服务器端配置Telnet用户使用AAA验证登录,并配置安全策略,保证只有符合安全策略的用户才能登录设备。
图1配置通过Telnet登录设备组网图
配置思路
- 配置Telnet方式登录设备,以实现远程维护网络设备。
- 配置安全策略,保证只有符合安全策略的用户才能登录设备。
- 配置管理员的用户名和密码。
当所处环境不足够安全时,建议选择较安全的STelnet接入方式登录设备,具体配置步骤请参见配置通过STelnet登录设备。
配置步骤
-
使能Telnet服务器功能
screen<span style="color:#333333"><span style="background-color:#dddddd"><HUAWEI> <strong>system-view</strong> [HUAWEI] <strong>sysname Telnet_Server</strong> [Telnet_Server]<strong> telnet server-source -i Vlanif 10</strong> //假设客户端使用IP地址10.137.217.177连接服务器,该地址对应的接口为Vlanif 10 [Telnet_Server] <strong>telnet server enable</strong></span></span>Telnet协议本身有安全风险,建议您使用SSH v2安全协议。
-
配置VTY用户界面的相关参数
配置VTY用户界面的最大个数。
screen<span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server] <strong>user-interface maximum-vty 15</strong></span></span>配置允许用户登录设备的主机地址。
screen<span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server] <strong>acl 2001</strong> [Telnet_Server-acl-basic-2001] <strong>rule permit source 10.1.1.1 0</strong> [Telnet_Server-acl-basic-2001] <strong>quit</strong> [Telnet_Server] <strong>user-interface vty 0 14</strong> [Telnet_Server-ui-vty0-14] <strong>protocol inbound telnet</strong> [Telnet_Server-ui-vty0-14] <strong>acl 2001 inbound</strong></span></span>配置VTY用户界面的终端属性。
screen<span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server-ui-vty0-14] <strong>shell</strong> [Telnet_Server-ui-vty0-14] <strong>idle-timeout 20</strong> [Telnet_Server-ui-vty0-14] <strong>screen-length 0</strong> [Telnet_Server-ui-vty0-14] <strong>history-command max-size 20</strong></span></span>配置VTY用户界面的用户验证方式。
screen<span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server-ui-vty0-14] <strong>authentication-mode aaa</strong> [Telnet_Server-ui-vty0-14] <strong>quit</strong></span></span> -
配置登录用户的相关信息
配置登录验证方式。
screen<span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server]<strong> aaa</strong> [Telnet_Server-aaa] <strong>local-user admin1234 password irreversible-cipher Helloworld@6789 </strong> [Telnet_Server-aaa] <strong>local-user admin1234 service-type telnet</strong> [Telnet_Server-aaa] <strong>local-user admin1234 privilege level 3</strong> [Telnet_Server-aaa] <strong>quit</strong></span></span> -
客户端登录
进入管理员PC的Windows的命令行提示符,执行相关命令,通过Telnet方式登录设备。
screen<span style="color:#333333"><span style="background-color:#dddddd">C:\Documents and Settings\Administrator> <strong>telnet 10.137.217.177</strong></span></span>输入Enter键后,在登录窗口输入AAA验证方式配置的登录用户名和密码,验证通过后,出现用户视图的命令行提示符,至此用户成功登录设备。(以下显示信息仅为示意)
screen<span style="color:#333333"><span style="background-color:#dddddd">Login authentication Username:<strong>admin1234</strong> Password: Info: The max number of VTY users is 15, and the number of current VTY users on line is 2. The current login time is 2012-08-06 18:33:18+00:00. <Telnet_Server></span></span>
配置文件
screen
<span style="color:#333333"><span style="background-color:#dddddd">#
sysname Telnet_Server
#
telnet server enable
telnet server-source -i Vlanif 10
#
acl number 2001
rule 5 permit source 10.1.1.1 0
#
aaa
local-user admin1234 password irreversible-cipher %^%#aVW8S=aP=B<OWi1Bu'^R[=_!~oR*85r_nNY+kA(I}[TiLiVGR-i/'DFGAI-O%^%#
local-user admin1234 privilege level 3
local-user admin1234 service-type telnet
#
user-interface maximum-vty 15
user-interface vty 0 14
acl 2001 inbound
authentication-mode aaa
history-command max-size 20
idle-timeout 20 0
screen-length 0
protocol inbound telnet
#
return</span></span>