上圖中的四臺主機相互都可以遠程登錄到S3760-A和S3760-B設備上。
現在我們來做一下限制:
1、vlan10用戶只允許遠程登錄到S3760-A設備上,而vlan20的用戶不允許遠程登錄到其中任何一臺設備上。
2、vlan30的用戶只允許登錄到S3760-A設備上,而vlan40用戶可以登錄到任何設備上。
按照以上的要求,我們可以在兩個設備上面配置ACL,最後應用在VTY口,這樣就可以達到以上的要求了。
具體配置如下:
設備S3760-A上配置步驟:
S3760-A#configure terminal
S3760-A(config)#interface fastethernet 0/1
S3760-A(config-if)#switchport access vlan 10
S3760-A(config-if)#no shut
S3760-A(config-if)#exit
S3760-A(config)#interface fastethernet 0/2
S3760-A(config-if)#switchport access vlan 20
S3760-A(config-if)#no shut
S3760-A(config-if)#exit
S3760-A(config)#interface fastethernet 0/10
S3760-A(config-if)#no switchport
S3760-A(config-if)#ip address 192.168.1.1 255.255.255.0
S3760-A(config-if)#no shut
S3760-A(config-if)#exit
S3760-A(config)#interface vlan 10
S3760-A(config-if)#ip address 192.168.10.1 255.255.255.0
S3760-A(config-if)#no shut
S3760-A(config-if)#exit
S3760-A(config)#interface vlan 20
S3760-A(config-if)#ip address 192.168.20.1 255.255.255.0
S3760-A(config-if)#no shut
S3760-A(config-if)#exit
S3760-A(config)#ip route 192.168.30.0 255.255.255.0 192.168.1.2
S3760-A(config)#ip route 192.168.40.0 255.255.255.0 192.168.1.2
S3760-A(config)#ip access-list standard 10
S3760-A(config-std-nacl)#deny192.168.20.0 0.0.0.255
S3760-A(config-std-nacl)#permit any
S3760-A(config-std-nacl)#exit
S3760-A(config)#line vty 0 4
S3760-A(config-line)#password 123456
S3760-A(config-line)#access-class 10 in
S3760-A(config.line)#exit
S3760-A(config)#enable secret 123456
S3760-A(config)#
設備S3760-B上配置步驟:
S3760-B#configure terminal.
S3760-B(config)#interface fastethernet 0/1
S3760-B(config-if)#switchport access vlan 30
S3760-B(config-if)#no shut
S3760-B(config-if)#exit
S3760-B(config)#interface fastethernet 0/2
S3760-B(config-if)#switchport access vlan 40
S3760-B(config-if)#no shut
S3760-B(config-if)#exit
S3760-B(config)#interface fastethernet 0/10
S3760-B(config-if)#no switchport
S3760-B(config-if)#ip address 192.168.1.2 255.255.255.0
S3760-B(config-if)#no shut
S3760-B(config-if)#exit
S3760-B(config)#interface vlan 30
S3760-B(config-if)#ip address 192.168.30.1 255.255.255.0
S3760-B(config-if)#no shut
S3760-B(config-if)#exit
S3760-B(config)#interface vlan 40
S3760-B(config-if)#ip address 192.168.40.1 255.255.255.0
S3760-B(config-if)#no shut
S3760-B(config-if)#exit
S3760-B(config)#ip route 192.168.10.0 255.255.255.0 192.168.1.1
S3760-B(config)#ip route 192.168.20.0 255.255.255.0 192.168.1.1
S3760-B(config)#ip access-list standard 20
S3760-B(config-std-nacl)#permit 192.168.40.0 0.0.0.255
S3760-B(config-std-nacl)#deny any
S3760-B(config-std-nacl)#exit
S3760-B(config)#line vty 0 4
S3760-B(config-line)#password 123456
S3760-B(config-line)#access-class 20 in
S3760-B(config-line)#exit
S3760-B(config)#enable secret 123456
S3760-B(config)#end
總結:
實驗是通過配置ACL並將其應用在VTY端口上,用以防止非法用戶登錄網絡設備從而進行管理。因爲用戶首先是通過VTY端口進行登錄設備的。當用戶要登錄設備時,首先是進入VTY端口,但是實驗中我在VTY端口上應用了ACL,所以用戶在進入VTY時就接受 ACL的檢查,符合規則的用戶就可以登錄,不符合規則的就禁止登錄了、、、