访问控制列表与SSH结合使用，为网络设备保驾护航，提高安全性

通过之前的文章简单介绍了华为交换机如何配置SSH远程登录，在一些工作场景，需要特定的IP地址段能够SSH远程访问和管理网络设备，这样又需要怎么配置呢？下面通过一个简单的案例带着大家去了解一下。

要实现这个功能其实很简单，我们只需要把允许访问的IP流量放通，其他IP流量禁止就能实现了。这里使用ACL就能轻松实现了。

什么是ACL？

ACL（Access Control List）访问控制列表，是由一条或多条规则组成的集合。ACL本质上是一种报文过滤器，规则是过滤器的滤芯。基于ACL规则定义方式，可以将ACL分为基本ACL、高级ACL、二层ACL等种类。

ACL应用原则

1. 标准ACL，尽量用在靠近目的点
2. 扩展ACL，尽量用在靠近源的地方（可以保护带宽和其他资源）
3. 方向：在应用时，一定要注意方向

案例分享

拓扑图

描述: 机房交换机不允许非管理网络SSH登录。上述拓扑中PC2属于管理网络，能远程SSH登录交换机SW1。而PC3不需要管理网络不能SSH登录交换机SW1.

配置思路

1. 创建VLAN10和20，并为VLANIF10和20配置IP地址。
2. 分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。
3. 在SW1上配置SSH远程登录。
4. 配置ACL，允许管理网络远程登录，禁用非管理网络登录。

关键配置

创建VLAN10和20，并为VLANIF10和20配置IP地址。

[SW1]vlan batch 10 20  #创建 vlan 10 20
[SW1]interface Vlanif 10 #进入vlan10配置模式
[SW1-Vlanif10]ip address  192.168.10.254 24 #配置vlan10 IP地址
[SW1]interface Vlanif 20
[SW1-Vlanif20]ip address 192.168.20.254 24

分别为PC2和PC3配置IP地址及网关IP,并加入对应的VALN中。

[SW1]interface GigabitEthernet 0/0/24 #进入接口模式
[SW1-GigabitEthernet0/0/24]port link-type access #配置接口模式为access
[SW1-GigabitEthernet0/0/24]port default vlan 10 #把接口加入到vlan10中
[SW1]interface GigabitEthernet 0/0/23
[SW1-GigabitEthernet0/0/23]port link-type access
[SW1-GigabitEthernet0/0/23]port default vlan 20

在SW1上配置SSH远程登录。

关于SW1上的SSH远程登录配置，可以参考这篇文章

配置ACL，允许管理网络远程登录，禁用非管理网络登录。

[SW1]acl name ssh_kongzhi 2001 #定义acl名称为ssh_kongzhi
#匹配允许192.168.10网络的流量
[SW1-acl-basic-ssh_kongzhi]rule 5 permit source 192.168.10.0 0.0.0.255
[SW1-acl-basic-ssh_kongzhi]rule  10 deny #禁止其他网络流量

#在vty接口应用acl 2001
[SW1-ui-vty0-4]acl  2001 inbound

通过以上的ACL访问控制列表，就能完美的把允许的流量放行，其他的流量就禁止。其中ACL还有很多的应用场景。感兴趣的小伙伴们可以深入探讨。