前言
在一些小型的没有运维平台的网络中,通常使用普通PC或者服务器来远程登录网络设备来运维,由于网络安全的考虑,一般需要限制远程登录运维PC的IP或网段,本案例来演示下如何配置限制远程登录的IP。
一、拓扑图及说明
拓扑说明:
Manage_PC为管理端PC,R1为被管理设备,网段和互联IP如拓扑图所示。
被管理设备R1只能允许被IP 地址为192.168.99.222的PC进行Telnet远程管理,其他PC均被限制不能远程登录R1。
二、配置步骤
配置接口IP及路由使所有设备均能连通,略过
R1配置
开启telnet
[R1]telnet server enable
设置登录方式为scheme(用户名密码登录)
[R1]line vty 0 4
[R1-line-vty0-4]authentication-mode scheme
创建用户名和密码,并设置验证类型和相关权限
[R1]local-user jxf
[R1-luser-manage-jxf]password simple j123456789
[R1-luser-manage-jxf]service-type telnet
[R1-luser-manage-jxf]authorization-attribute user-role level-15
创建一条ACL匹配该限制IP(网段的话也同样操作)
[R1] acl basic 2005
[R1-acl-ipv4-basic-2005]rule 0 permit source 192.168.99.222 0
Telnet服务引用该ACL
[R1] telnet server acl 2005
三、验证配置
无论从业务段PC或Manage_PC都可以ping通R1的接口IP 10.1.1.1,说明连通性没问题。
在业务段PC_3或PC_4上telnet登录R1,连接失败。
在Manage_PC上telnet登录设备R1的接口IP,可以成功登录。
尝试把Manage_PC的ip地址修改为其他同网段IP:192.168.99.220,再次telnet10.1.1.1,连接失败。
由此可见,登录IP限制配置验证成功。
总结
在远程登录运维中,一般常用telnet或者ssh方式来登录,配置都与本telnet连接类似,创建一条匹配需要登录IP或者IP段的ACL即可。
原创文档,若有错误或改进之处,麻烦指点修正。