教你使用访问控制列表控制用户登录

教你使用访问控制列表控制用户登录！济南磐龙华三维修

访问控制列表

环境：真实设备H3C的防火墙，一台交换机，两台PC

1、要求：

现有网络设备一台路由器、一台防火墙firewall和一台三层交换机，要求任选一台设备模拟只有管理员{ip自定义}在上班时间{08:00-20:00）可以telnet，ssh，http。

2、网络拓扑图：

使用亿图工具绘制出网络拓扑图，如图1所示：

图1：网络拓扑图

PC1是管理员按照要求所说PC1在上班时间{08:00-20:00）可以telnet、ssh、http到防火墙上，而PC2在任何时候都不可以telnet、ssh、http到防火墙上，PC1和PC2的IP地址配置如图上所示。

3、设备实施：

（1）防火墙的配置

//进入配置模式

<H3C>system-view

System View: return to User View with Ctrl+Z.

[H3C]sys

//修改名称

[H3C]sysname firewall

[firewall]int eth0/4

[firewall-Ethernet0/4]ip add

//配置IP地址

[firewall-Ethernet0/4]ip address 192.168.1.4 24

[firewall-Ethernet0/4]

%Apr 22 21:43:19:019 2014 firewall IFNET/4/UPDOWN:Line protocol on the interface Ethernet0/1 is UP

//接口eth0/1加入可信区域

[firewall]firewall zone untrust

[firewall-zone-untrust]add interface eth0/4

//配置控制列表

[firewall]acl ?

counter
Statistics information of acl

name

Specify a flow object


//基于编号

number
Specify a numbered acl

//基于名称

[firewall]acl number 3000 match-order ?

auto

Auto order


//匹配顺序自动

config
Config order

//配置顺序

[firewall]acl number 3000 match-order auto


//匹配选择自动

//配置管理员访问时间段在工作日08:00-20:00

[firewall]time-range acl 08:00 to 20:00 working-day

//配置ACL允许管理员访问规则

[firewall-acl-basic-3000]rule permit time-range acl source 192.168.1.137 0.0.0.0

//配置ACL规则拒绝所有

[firewall-acl-basic-3000]rule 20 deny source any

//在接口上应用ACL

[firewall-Ethernet0/1]firewall packet-filter 3000 inbound

//配置管理员可以tenlet和ssh防火墙，即在虚拟链路上应用ACL

[firewall]user-interface vty 0 4

[firewall-ui-vty0-4]acl 3000 in

[firewall-ui-vty0-4]acl 3000 inbound

//配置管理员访问http

[firewall]ip http acl 3000

（2）

4、测试验证

（1）在PC1终端上ssh防火墙，结果如图2所示

图2：ssh到防火墙

（2）在PC1上telnet到防火墙，结果如图3所示：

图3：telnet到防火墙上

（3）在PC1上使用浏览器访问防火墙，结果如图4所示：

图4：使用浏览器访问防火墙

（4）在PC2上telnet到防火墙，结果如图5所示：

图5：在PC2上telnet防火墙

（5）在PC1上使用浏览器访问防火墙，结果如图6所示：

济南磐龙笔记本交换机维修，专业芯片级维修服务商  www.pldtwx.com