要求：PC與接入交換機(jī)Client間路由可達(dá)，Client與服務(wù)器Server間路由可達(dá)。用戶希望實(shí)現(xiàn)對遠(yuǎn)程設(shè)備Server的管理與維護(hù)，不過終端PC與遠(yuǎn)程設(shè)備Server間不能直接Telnet遠(yuǎn)程登錄到Server。用戶可以通過Telnet登錄到Client，再從Client通過Telnet登錄到需要管理的設(shè)備Server。為了防止其他非法設(shè)備通過Telnet方式登錄Server，配置ACL規(guī)則只允許Client通過Telnet方式登錄Server。

一、本節(jié)知識點(diǎn)：

ACL：訪問控制列表（Access Control Lists）是應(yīng)用在路由器接口的指令列表。這些指令列表用來告訴路由器哪些數(shù)據(jù)包可以收、哪些數(shù)據(jù)包需要拒絕。至于數(shù)據(jù)包是被接收還是拒絕，可以由類似于源地址、目的地址、端口號等的特定指示條件來決定。

二、配置思路：

1.配置pc1到接入交換機(jī)Client路由可達(dá)，接入交換機(jī)Client到服務(wù)器Server可達(dá)。

2. 在Server上配置Telnet驗(yàn)證方式。

3.在Server上配置登錄用戶的相關(guān)信息。

3. 在Server上配置ACL規(guī)則允許Client1登錄。

4. 從Client上Telnet登錄到Server。

三、IP設(shè)置：

交換機(jī)：1、pc1:192.168.10.1/24 ，加入vlan 10

2、Client管理地址：192.168.10.254/24

3、Server管理地址：10.10.1.2/24

四、接入交換機(jī)Client的配置文件：

#

sysname Client

#

vlan batch 10 20 //創(chuàng)建vlan10和20

#

aaa //aaa 認(rèn)證方式

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple 123456 //設(shè)置本地用戶名admin和密碼123456，用戶名不區(qū)分大小寫，密碼區(qū)分大小寫

local-user admin privilege level 15 //本地用戶admin的權(quán)限級別為15級，最高級

local-user admin service-type telnet //本地用戶admin支持telnet協(xié)議

#

interface Vlanif10 //創(chuàng)建vlan10三層接口

ip address 192.168.10.254 255.255.255.0 //設(shè)置交換機(jī)管理IP地址

#

interface Vlanif20 //創(chuàng)建vlan20三層接口

ip address 10.10.1.1 255.255.255.0 //設(shè)置與Server 互通的IP地址

#

interface Ethernet0/0/1

port link-type access

port default vlan 10 //該接口加入到vlan10

#

interface Ethernet0/0/2

port link-type trunk //與server連接的端口為trunk

port trunk allow-pass vlan 20 //只允許vlan20 通過

#

user-interface con 0

user-interface vty 0 4 //Telnet常用于設(shè)備管理員登錄，推薦使用AAA認(rèn)證，設(shè)置用戶0-4共5個虛擬用戶界面

authentication-mode aaa //認(rèn)證方式為aaa

user privilege level 15 //權(quán)限級別為最高級15級

#

return

五、服務(wù)器Server的配置文件：

#

sysname Server

#

vlan batch 20

#

acl number 2000 //創(chuàng)建基礎(chǔ)訪問控制列表

rule 5 permit source 10.10.1.1 0 //只允許源地址為10.10.1.1的ip通過，其他IP都被拒絕。

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple 123456

local-user admin privilege level 15

local-user admin service-type telnet

#

interface Vlanif20

ip address 10.10.1.2 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 20

#

user-interface con 0

user-interface vty 0 4

acl 2000 inbound //訪問控制列表2000被應(yīng)用到telnet中。

authentication-mode aaa

user privilege level 15

#

return

六、驗(yàn)證配置結(jié)果：

1、 網(wǎng)管PC用Telnet登錄到接入交換機(jī)Client，再通過telnet登錄到Server。