华为配置ACL限制用户通过Telnet登录设备

配置ACL限制用户通过Telnet登录设备示例

组网需求

如图1所示，PC与设备之间路由可达，用户希望简单方便的配置和管理远程设备，可以在服务器端配置Telnet用户使用AAA验证登录，并配置安全策略，保证只有符合安全策略的用户才能登录设备。

图1配置通过Telnet登录设备组网图

配置思路

1. 配置Telnet方式登录设备，以实现远程维护网络设备。
2. 配置安全策略，保证只有符合安全策略的用户才能登录设备。
3. 配置管理员的用户名和密码。

当所处环境不足够安全时，建议选择较安全的STelnet接入方式登录设备，具体配置步骤请参见配置通过STelnet登录设备。

配置步骤

1. 使能Telnet服务器功能

   <span style="color:#333333"><span style="background-color:#dddddd"><HUAWEI> <strong>system-view</strong> 
   [HUAWEI] <strong>sysname Telnet_Server</strong> 
   [Telnet_Server]<strong> telnet server-source -i Vlanif 10</strong>  //假设客户端使用IP地址10.137.217.177连接服务器，该地址对应的接口为Vlanif 10
   [Telnet_Server] <strong>telnet server enable</strong></span></span>

   Telnet协议本身有安全风险，建议您使用SSH v2安全协议。

2. 配置VTY用户界面的相关参数

   配置VTY用户界面的最大个数。

   <span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server] <strong>user-interface maximum-vty 15</strong></span></span>

   配置允许用户登录设备的主机地址。

   <span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server] <strong>acl 2001</strong>
   [Telnet_Server-acl-basic-2001] <strong>rule permit source 10.1.1.1 0</strong>
   [Telnet_Server-acl-basic-2001] <strong>quit</strong>
   [Telnet_Server] <strong>user-interface vty 0 14</strong>
   [Telnet_Server-ui-vty0-14] <strong>protocol inbound telnet</strong>
   [Telnet_Server-ui-vty0-14] <strong>acl 2001 inbound</strong></span></span>

   配置VTY用户界面的终端属性。

   <span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server-ui-vty0-14] <strong>shell</strong>
   [Telnet_Server-ui-vty0-14] <strong>idle-timeout 20</strong>
   [Telnet_Server-ui-vty0-14] <strong>screen-length 0</strong>
   [Telnet_Server-ui-vty0-14] <strong>history-command max-size 20</strong></span></span>

   配置VTY用户界面的用户验证方式。

   <span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server-ui-vty0-14] <strong>authentication-mode aaa</strong>
   [Telnet_Server-ui-vty0-14] <strong>quit</strong></span></span>

3. 配置登录用户的相关信息

   配置登录验证方式。

   <span style="color:#333333"><span style="background-color:#dddddd">[Telnet_Server]<strong> aaa</strong> 
   [Telnet_Server-aaa] <strong>local-user admin1234 password irreversible-cipher Helloworld@6789 </strong>
   [Telnet_Server-aaa] <strong>local-user admin1234 service-type telnet</strong> 
   [Telnet_Server-aaa] <strong>local-user admin1234 privilege level 3</strong> 
   [Telnet_Server-aaa] <strong>quit</strong></span></span>

4. 客户端登录

   进入管理员PC的Windows的命令行提示符，执行相关命令，通过Telnet方式登录设备。

   <span style="color:#333333"><span style="background-color:#dddddd">C:\Documents and Settings\Administrator> <strong>telnet 10.137.217.177</strong></span></span>

   输入Enter键后，在登录窗口输入AAA验证方式配置的登录用户名和密码，验证通过后，出现用户视图的命令行提示符，至此用户成功登录设备。（以下显示信息仅为示意）

   <span style="color:#333333"><span style="background-color:#dddddd">Login authentication   
   
   
   Username:<strong>admin1234</strong> 
   Password: 
   Info: The max number of VTY users is 15, and the number   
         of current VTY users on line is 2.      
         The current login time is 2012-08-06 18:33:18+00:00. 
   <Telnet_Server></span></span>

配置文件

<span style="color:#333333"><span style="background-color:#dddddd">#
sysname Telnet_Server
#
telnet server enable
telnet server-source -i Vlanif 10
#
acl number 2001
 rule 5 permit source 10.1.1.1 0
#
aaa
 local-user admin1234 password irreversible-cipher %^%#aVW8S=aP=B<OWi1Bu'^R[=_!~oR*85r_nNY+kA(I}[TiLiVGR-i/'DFGAI-O%^%#
 local-user admin1234 privilege level 3
 local-user admin1234 service-type telnet
#
user-interface maximum-vty 15
user-interface vty 0 14
 acl 2001 inbound
 authentication-mode aaa
 history-command max-size 20
 idle-timeout 20 0
 screen-length 0
 protocol inbound telnet
#
return</span></span>