ACL下发

字数统计: 3.1k字   |   阅读时长: 14分

ACL的下发方式

华为

华为ACL一般是与流策略或简化流策略结合使用,此外其还可以在VTY下使用

VTY

如下图所示

示例

1
2
3
4
5
6
[ACC1]sys
[ACC1]user-interface vty 0 4 
[ACC1]acl 2000 inbound

[ACC1]acl 2000
[ACC1]deny ip 192.168.10.2 0

该示例是在设备ACC1上配置,限制IP地址为192.168.10.2的主机登录到该设备ACC1

其它

华为

命令行智能回退功能

每条命令行都有支持的视图,比如vlan命令支持的视图是系统视图。在业务部署过程中,用户可能需要在不同视图下配置命令行,这样操作步骤较多,业务部署效率低。

设备支持命令行智能回退功能,即如果命令行在当前视图下无法匹配成功,系统会自动回退到系统视图下,如果可以匹配该命令行,则可以直接下发配置,从而减少了命令行操作步骤。

例如,interface命令支持的视图是系统视图,但是若用户正在VLAN视图下执行操作,可以直接在VLAN视图下执行interface命令行进入接口视图。

示例

1
2
3
4
<HUAWEI> system-view
[HUAWEI] vlan 2
[HUAWEI-vlan2] interface 10ge 1/0/1
[HUAWEI-10GE1/0/1]

如果用户要关闭命令行只能回退功能,在用户视图下执行命令undo terminal command forward matched upper-view,关闭命令行智能回退功能

设置命令级别

下图是用户级别和命令级别的对应关系

示例

1
2
<HUAWEI> system-view
[HUAWEI] command-privilege level 5 view shell save

该示例将save命令的级别设置为5

配置Console用户界面

配置Console用户界面的物理属性
配置Console用户界面的终端属性
配置Console用户界面的用户级别
配置Console用户界面的AAA验证方式
配置Console用户界面的Password验证方式

检查配置结果

1
2
3
4
5
6
7
8
9
display users [ all ],查看用户界面的使用信息。
display user-interface console ui-number [ summary ],查看Console用户界面信息。
display user-interface maximum-vty,查看VTY类型用户界面的最大个数。
display user-interface vty ui-number1 [ summary ],查看VTY用户界面信息。
display ssh server ip-block all,查看所有认证失败的客户端IP地址。
display ssh server ip-block list,查看因认证失败而被锁定的客户端IP地址。
display vty ip-block list,查看因为认证失败而被阻止的IP地址列表。
display vty ip-block all,查看所有认证失败的IP地址。
display vty mode,查看VTY的工作模式。

配置用户通过Telnet登录设备

配置流程如下图

配置用户通过Telnet登录设备的缺省值

配置Telent服务器功能及参数
配置Telnet登录的用户界面
配置Telnet类型的本地用户(AAA验证)
检查配置结果
1
2
3
4
5
display users [ all ]命令,查看用户界面连接情况。
display tcp status命令,查看当前建立的所有TCP连接情况。
display telnet server status命令,查看Telnet服务器的当前连接信息。
display vty ip-block list命令,查看因为认证失败而被阻止的IP地址列表。
display vty ip-block all命令,查看所有认证失败的IP地址。

配置设备作为Telnet客户端登录到其它设备

配置流程如下图

配置Telnet客户端参数
使用Telnet命令登录其它设备

使用display tcp status命令查看当前建立的所有TCP连接情况

示例1
拓扑
步骤

1.在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。
2.配置Telnet服务器的管理网口IP地址

1
2
3
4
5
<HUAWEI> system-view
[HUAWEI] sysname Telnet Server
[Telnet Server] interface meth 0/0/0
[Telnet Server-MEth0/0/0] ip address 10.137.217.177 255.255.255.0
[Telnet Server-MEth0/0/0] quit

3.配置服务器的端口号及使能服务器功能(可选)

1
2
3
[Telnet Server] telnet server enable
[Telnet Server] telnet server port 1025
[Telnet Server] telnet server-source -i meth 0/0/0

4.配置VTY用户界面的相关参数(可选)
4.1配置VTY用户界面的最大个数
[Telnet Server] user-interface maximum-vty 8
4.2配置允许用户登录设备的主机地址

1
2
3
4
5
6
[Telnet Server] acl 2001
[Telnet Server-acl4-basic-2001] rule permit source 10.137.217.10 0
[Telnet Server-acl4-basic-2001] rule deny source 10.137.217.20 0
[Telnet Server-acl4-basic-2001] quit
[Telnet Server] user-interface vty 0 7
[Telnet Server-ui-vty0-7] acl 2001 inbound

4.3配置VTY用户界面的终端属性(可选)

1
2
3
4
5
[Telnet Server-ui-vty0-7] shell
[Telnet Server-ui-vty0-7] idle-timeout 20
[Telnet Server-ui-vty0-7] screen-length 30
[Telnet Server-ui-vty0-7] history-command max-size 20
[Telnet Server-ui-vty0-7] protocol inbound telnet

4.4配置VTY用户界面的用户验证方式(aaa)

1
2
[Telnet Server-ui-vty0-7] authentication-mode aaa
[Telnet Server-ui-vty0-7] quit

5.配置登录用户的相关信息
5.1配置登陆验证方式

1
2
3
4
5
6
7
8
9
10
11
[Telnet Server] aaa
[Telnet Server-aaa] local-user admin1234 password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password:                                      
Please confirm password:                               
Info: Add a new user.
[Telnet Server-aaa] local-user admin1234 service-type telnet
[Telnet Server-aaa] local-user admin1234 privilege level 3
[Telnet Server-aaa] quit
检查配置结果

1.进入CMD命令行,执行相关命令
C:\Documents and Settings\Administrator> telnet 10.137.217.177 1025
2.输入Enter键后,在登录窗口输入AAA验证方式配置的登录用户名和密码,验证通过后,出现用户试图的命令行提示登录设备

1
2
3
4
Username:admin1234
Password:
Info: The max number of VTY users is 8, the number of current VTY users online is 1, and total number of terminal users online is 1.
<Telnet Server>
配置脚本(通过dis cur命令查看)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#
sysname Telnet Server
#
telnet server-source -i MEth0/0/0
telnet server port 1025
#
acl number 2001
 rule 5 permit source 10.137.217.10 0
 rule 10 deny source 10.137.217.20 0 
#
aaa
 local-user admin1234 password irreversible-cipher $1d$g8wLJ`LjL!$CyE(V{3qg5DdU:PM[6=6O$UF-.fQ,Q}>^)OBzgoU$
 local-user admin1234 service-type telnet
 local-user admin1234 privilege level 3
#
interface MEth0/0/0
 ip address 10.137.217.177 255.255.255.0
#
user-interface maximum-vty 8
#
user-interface vty 0 7
 acl 2001 inbound
 authentication-mode aaa
 history-command max-size 20
 idle-timeout 20 0
 screen-length 30
#
return
示例2
拓扑
步骤

1.在用户视图下执行命令install feature-software WEAKEA安装弱安全算法/协议特性包(WEAKEA)。
2.配置Device2的Telnet验证方式和密码

1
2
3
4
5
<HUAWEI> system-view
[HUAWEI] sysname Device2
[Device2] user-interface vty 0 4
[Device2-ui-vty0-4] authentication-mode aaa
[Device2-ui-vty0-4] quit

3.配置登录用户的相关信息

1
2
3
4
5
6
7
8
9
10
11
[Device2] aaa
[Device2-aaa] local-user admin1234 password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password:                                      
Please confirm password:                               
Info: Add a new user.
[Device2-aaa] local-user admin1234 service-type telnet
[Device2-aaa] local-user admin1234 privilege level 3
[Device2-aaa] quit

4.在Device2上配置ACL规则允许Device1登录(可选)

1
2
3
4
5
6
[Device2] acl 2000
[Device2-acl4-basic-2000] rule permit source 10.1.1.1 0
[Device2-acl4-basic-2000] quit
[Device2] user-interface vty 0 4
[Device2-ui-vty0-4] acl 2000 inbound
[Device2-ui-vty0-4] quit
检查配置结果

完成以上配置后,仅可以从Device1上Telnet登录到Device2,无法从其他设备登录到Device2

1
2
3
4
5
6
7
8
<HUAWEI> system-view
[HUAWEI] sysname Device1
[Device1] quit
<Device1> telnet 10.2.1.1
Username:admin1234
Password:
Info: The max number of VTY users is 8, the number of current VTY users online is 1, and total number of terminal users online is 1.
<Device2>
配置脚本(通过dis cur命令查看)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
#
sysname Device2
#
acl number 2000
 rule 5 permit source 10.1.1.1 0
#
aaa
 local-user admin1234 password irreversible-cipher $1d$g8wLJ`LjL!$CyE(V{3qg5DdU:PM[6=6O$UF-.fQ,Q}>^)OBzgoU$
 local-user admin1234 privilege level 3
 local-user admin1234 service-type telnet
#
user-interface vty 0 4
 acl 2000 inbound
 authentication-mode aaa
#
return

配置用户使用STelnet登录设备(相比Telent更安全 使用SSH)

缺省配置
操作步骤

1.使能STelnet功能

1
2
system-view
stelnet [ipv4|ipv6] server enable

2.配置STelnet服务器功能及参数
3.配置SSH用户登录的用户界面
4.配置SSH用户
5.用户通过STelnet登录设备

检查配置结果
1
2
3
display ssh user-information [ username ]命令,在SSH服务器端查看SSH用户信息。如果不指定SSH用户,则可以查看SSH服务器端所有的SSH用户信息。
display ssh server status命令,查看SSH服务器的全局配置信息。
display ssh server session命令,在SSH服务器端查看与SSH客户端连接的会话信息。

配置用户作为STelnet客户端登录其它设备

操作步骤

1.配置设备首次连接SSH服务器的方式
2.配置SSH客户端参数
3.使用STelnet命令登录其他设备

检查配置结果
1
2
display ssh server-info命令,在SSH客户端查看所有SSH服务器与公钥之间的对应关系。
display ssh client session命令,查看SSH客户端密钥重协商后在线会话的接收/发送报文数量,接收/发送报文数据量以及STelnet登录时长。
示例1
拓扑
步骤

1.配置SSH服务器的管理网口IP地址

1
2
3
4
5
<HUAWEI> system-view
[HUAWEI] sysname SSH Server
[SSH Server] interface meth 0/0/0
[SSH Server-MEth0/0/0] ip address 10.248.103.194 255.255.255.0
[SSH Server-MEth0/0/0] quit

2.在SSH服务器端生成本地密钥对

1
2
3
4
5
[SSH Server] rsa local-key-pair create
The key name will be:Host
The range of public key size is (2048, 4096).
NOTE: Key pair generation will take a short while.
Please input the modulus [default = 3072]:

3.配置SSH服务器的VTY的用户界面

1
2
3
4
[SSH Server] user-interface vty 0 4
[SSH Server-ui-vty0-4] authentication-mode aaa
[SSH Server-ui-vty0-4] protocol inbound ssh
[SSH Server-ui-vty0-4] quit

4.在服务器端创建本地用户,并配置用户服务方式。

1
2
3
4
5
6
7
8
9
10
11
[SSH Server] aaa
[SSH Server-aaa] local-user admin123 password
Please configure the login password (8-128)
It is recommended that the password consist of at least 2 types of characters, i
ncluding lowercase letters, uppercase letters, numerals and special characters. 
Please enter password:                                      
Please confirm password:                               
Info: Add a new user.
[SSH Server-aaa] local-user admin123 service-type terminal ssh
[SSH Server-aaa] local-user admin123 privilege level 3
[SSH Server-aaa] quit

5.在服务器端创建SSH用户,并配置认证方式

1
2
[SSH Server] ssh user admin123
[SSH Server] ssh user admin123 authentication-type rsa

6.配置SSH服务器的公钥算法、加密算法、密钥交换算法列表、HMAC认证算法和最小密钥长度。

1
2
3
4
5
[SSH Server] ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm
[SSH Server] ssh server hmac sha2_256 sha2_512
[SSH Server] ssh server key-exchange dh_group_exchange_sha256
[SSH Server] ssh server publickey rsa_sha2_256 rsa_sha2_512
[SSH Server] ssh server dh-exchange min-len 3072

7.SSH客户端使用OpenSSH创建RSA密钥对,并将密钥对中的公钥拷贝至SSH服务器。进入Windows的命令行提示符,创建RSA密钥对,并保存到本地id_rsa.pub文件中(以下内容仅为示例)。
C:\Users\User1>ssh-keygen -t rsa
8.SSH服务器编辑SSH客户端OpenSSH生成的公钥,并将编辑后的公钥分配给SSH用户。

1
2
3
4
5
6
[SSH Server] rsa peer-public-key rsa01 encoding-type openssh
[SSH Server-rsa-public-key] public-key-code begin
[SSH Server-rsa-public-key-rsa-key-code] ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCg5Ag490i6ilB7QuCVb35B8RJEh1DIYB88h2p1qjdh7qdMQv8rpJaVAgQWxwzKZO0XdFuz4ReGQzTCSf7Det7Ajicddw3qi+6P8hRqZj6MPdLg/o3RN4aPCfr/LFWCwqJ3gWGHlOC7qqjRk+6pySVoiWcSk5/elBkU7WVk/cSWrt4qFXJV373OCesKcEVeDvAa1Tvx6L3LQroBqUO0EXzDgOthPCmOqiqvS5h3JipzqVsesdSKjeInooCQzSOv5eePpBcFcIvU6wFiLIZ5vnf6YtypgTVzHuje/sh4xM7Iuuon7AYXKHT8NpO9jd9zA/lKaRPXyDtei1O1Bt/5lxnn 
[SSH Server-rsa-public-key-rsa-key-code] public-key-code end
[SSH Server-key-code] peer-public-key end
[SSH Server] ssh user admin123 assign rsa-key rsa01

9.使能STelnet功能,并配置用户的服务类型

1
2
3
[SSH Server] stelnet server enable
[SSH Server] ssh server-source all-interface
[SSH Server] ssh user admin123 service-type stelnet

10.配置ACL规则

1
2
3
4
[SSH Server] acl 2000
[SSH Server-acl4-basic-2000] rule permit source 10.248.103.0 8
[SSH Server-acl4-basic-2000] quit
[SSH Server] ssh server acl 2000
检查配置结果

客户端通过OpenSSH软件登录SSH服务器。进入Windows的命令行提示符,执行OpenSSH命令,通过STelnet方式访问设备
C:\Users\User1>ssh admin123@10.248.103.194

配置脚本(通过dis cur命令查看)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
#
sysname SSH Server
#
acl number 2000
 rule 5 permit source 10.248.103.0 0.0.0.255
#
rsa peer-public-key rsa01 encoding-type openssh
 public-key-code begin
  ssh-rsa AAAAB3NzaC1yc2EAAAADAQABAAABAQCg5Ag490i6ilB7QuCVb35B8RJEh1DIYB88h2p1qjdh7qdMQv8rpJaVAgQWxwzKZO0XdFuz4ReGQzTCSf7Det7Ajicddw3qi+6P8hRqZj6MPdLg/o3RN4aPCfr/LFWCwqJ3gWGHlOC7qqjRk+6pySVoiWcSk5/elBkU7WVk/cSWrt4qFXJV373OCesKcEVeDvAa1Tvx6L3LQroBqUO0EXzDgOthPCmOqiqvS5h3JipzqVsesdSKjeInooCQzSOv5eePpBcFcIvU6wFiLIZ5vnf6YtypgTVzHuje/sh4xM7Iuuon7AYXKHT8NpO9jd9zA/lKaRPXyDtei1O1Bt/5lxnn rsa-key
 public-key-code end
 peer-public-key end
#
aaa
 local-user admin123 password irreversible-cipher $1d$+,JS+))\\2$KVNj(.3`_5x0FCKGv}H&.kUTI`Ff&H*eBqO.ua>)$
 local-user admin123 service-type terminal ssh
 local-user admin123 privilege level 3
#
interface MEth0/0/0
 ip address 10.248.103.194 255.255.255.0
#
stelnet server enable
ssh user admin123
ssh user admin123 authentication-type rsa
ssh user admin123 assign rsa-key rsa01
ssh user admin123 service-type stelnet
ssh server-source all-interface
ssh server acl 2000
#
ssh server cipher aes128_ctr aes256_ctr aes192_ctr aes128_gcm aes256_gcm
ssh server hmac sha2_256 sha2_512
ssh server key-exchange dh_group_exchange_sha256
ssh server publickey rsa_sha2_256 rsa_sha2_512
ssh server dh-exchange min-len 3072
#
user-interface vty 0 4
 authentication-mode aaa
 idle-timeout 120 0
 protocol inbound ssh
#
return

×

纯属好玩

扫码支持
扫码打赏,你说多少就多少

打开支付宝扫一扫,即可进行扫码打赏哦

本文标题:ACL下发

文章作者:

发布时间:2023年04月20日 - 10时30分

最后更新:2023年04月20日 - 18时34分

原始链接:http://txb0318.github.io/2023/04/20/ACL%E4%B8%8B%E5%8F%91/

许可协议: "署名-非商用-相同方式共享 3.0" 转载请保留原文链接及作者。

文章目录
  1. 1. ACL的下发方式
    1. 1.1. 华为
      1. 1.1.1. VTY
  2. 2. 其它
    1. 2.1. 华为
      1. 2.1.1. 命令行智能回退功能
      2. 2.1.2. 设置命令级别
      3. 2.1.3. 配置Console用户界面
        1. 2.1.3.1. 配置Console用户界面的物理属性
        2. 2.1.3.2. 配置Console用户界面的终端属性
        3. 2.1.3.3. 配置Console用户界面的用户级别
        4. 2.1.3.4. 配置Console用户界面的AAA验证方式
        5. 2.1.3.5. 配置Console用户界面的Password验证方式
      4. 2.1.4. 检查配置结果
      5. 2.1.5. 配置用户通过Telnet登录设备
        1. 2.1.5.1. 配置Telent服务器功能及参数
        2. 2.1.5.2. 配置Telnet登录的用户界面
        3. 2.1.5.3. 配置Telnet类型的本地用户(AAA验证)
        4. 2.1.5.4. 检查配置结果
      6. 2.1.6. 配置设备作为Telnet客户端登录到其它设备
        1. 2.1.6.1. 配置Telnet客户端参数
        2. 2.1.6.2. 使用Telnet命令登录其它设备
        3. 2.1.6.3. 示例1
          1. 2.1.6.3.1. 拓扑
          2. 2.1.6.3.2. 步骤
          3. 2.1.6.3.3. 检查配置结果
          4. 2.1.6.3.4. 配置脚本(通过dis cur命令查看)
        4. 2.1.6.4. 示例2
          1. 2.1.6.4.1. 拓扑
          2. 2.1.6.4.2. 步骤
          3. 2.1.6.4.3. 检查配置结果
          4. 2.1.6.4.4. 配置脚本(通过dis cur命令查看)
      7. 2.1.7. 配置用户使用STelnet登录设备(相比Telent更安全 使用SSH)
        1. 2.1.7.1. 缺省配置
        2. 2.1.7.2. 操作步骤
        3. 2.1.7.3. 检查配置结果
      8. 2.1.8. 配置用户作为STelnet客户端登录其它设备
        1. 2.1.8.1. 操作步骤
        2. 2.1.8.2. 检查配置结果
        3. 2.1.8.3. 示例1
          1. 2.1.8.3.1. 拓扑
          2. 2.1.8.3.2. 步骤
          3. 2.1.8.3.3. 检查配置结果
          4. 2.1.8.3.4. 配置脚本(通过dis cur命令查看)
载入天数...载入时分秒...
,
字数统计:36.3k