EqLlyHJ5w6,694hQRgLWm
教你使用访问控制列表控制用户登录教你使用访问控制列表控制用户登录!济南磐龙华三维修 访问控制列表 环境:真实设备H3C的防火墙,一台交换机,两台PC 1、要求: 现有网络设备一台路由器、一台防火墙firewall和一台三层交换机,要求任选一台设备模拟只有管理员{ip自定义}在上班时间{08:00-20:00)可以telnet,ssh,http。 2、网络拓扑图: 使用亿图工具绘制出网络拓扑图,如图1所示: 图1:网络拓扑图 PC1是管理员按照要求所说PC1在上班时间{08:00-20:00)可以telnet、ssh、http到防火墙上,而PC2在任何时候都不可以telnet、ssh、http到防火墙上,PC1和PC2的IP地址配置如图上所示。 3、设备实施: (1)防火墙的配置 //进入配置模式 <H3C>system-view System View: return to User View with Ctrl+Z. [H3C]sys //修改名称 [H3C]sysname firewall [firewall]int eth0/4 [firewall-Ethernet0/4]ip add //配置IP地址 [firewall-Ethernet0/4]ip address 192.168.1.4 24 [firewall-Ethernet0/4] %Apr 22 21:43:19:019 2014 firewall IFNET/4/UPDOWN:Line protocol on the interface Ethernet0/1 is UP //接口eth0/1加入可信区域 [firewall]firewall zone untrust [firewall-zone-untrust]add interface eth0/4 //配置控制列表 [firewall]acl ?
[firewall]acl number 3000 match-order ?
[firewall]acl number 3000 match-order auto //配置管理员访问时间段在工作日08:00-20:00 [firewall]time-range acl 08:00 to 20:00 working-day //配置ACL允许管理员访问规则 [firewall-acl-basic-3000]rule permit time-range acl source 192.168.1.137 0.0.0.0 //配置ACL规则拒绝所有 [firewall-acl-basic-3000]rule 20 deny source any //在接口上应用ACL [firewall-Ethernet0/1]firewall packet-filter 3000 inbound //配置管理员可以tenlet和ssh防火墙,即在虚拟链路上应用ACL [firewall]user-interface vty 0 4 [firewall-ui-vty0-4]acl 3000 in [firewall-ui-vty0-4]acl 3000 inbound //配置管理员访问http [firewall]ip http acl 3000 (2) 4、测试验证 (1)在PC1终端上ssh防火墙,结果如图2所示 图2:ssh到防火墙 (2)在PC1上telnet到防火墙,结果如图3所示: 图3:telnet到防火墙上 (3)在PC1上使用浏览器访问防火墙,结果如图4所示: 图4:使用浏览器访问防火墙 (4)在PC2上telnet到防火墙,结果如图5所示: 图5:在PC2上telnet防火墙 (5)在PC1上使用浏览器访问防火墙,结果如图6所示: 济南磐龙笔记本交换机维修,专业芯片级维修服务商 www.pldtwx.com
|