拓扑
拓扑可以保存到本地,然后扩大查看,这样才能看的更清楚。(拖动到新窗口打开即可)
统一管理设备,认证【本地用户名密码】
说明:为了方便管理设备,我们通常在内部会定义一个地址,然后通过该地址进行访问,并且定义了认证方式为本地的用户名密码进行验证,并且限制只允许特定的管理人员登陆。
10.1、内网设备管理【核心层为例】
说明:之前定义了管理VLAN为VLAN1,定义没有规划,这个可以根据自己情况来分配即可。所以这里以核心层 Core-B为例
(1)定义不同用图的用户名密码
[Core-B]aaa
[Core-B-aaa]local-user telnet-ssh password cipher telnet-ssh
[Core-B-aaa]local-user telnet-ssh service-type telnet ssh
[Core-B-aaa] local-user telnet-ssh privilege level 2
[Core-B-aaa]local-user ccieh3c password cipher ccieh3c
[Core-B-aaa]local-user ccieh3c service-type terminal web telnet ssh
[Core-B-aaa]local-user ccieh3c privilege level 15
说明:这里定义了2个用户,第一个telnet-ssh,的意思是允许客户端Telnet或者SSH来管理设备,但是权限只给于2,2的意思是能配置大部分功能,但是不能重启设备,查看设备配置,私自定义用户等,当然这个可以根据自己需求定义。 第二个用户则是管理员用户,可以通过Console、WEB等方式管理,而且权限为15,最为特殊需要的时候才使用。
(2)调用策略在Console/VTY下。
[Core-B]user-interface console 0
[Core-B-ui-console0]authentication-mode aaa
[Core-B]user-interface vty 0 4
[Core-B-ui-vty0-4]authentication-mode aaa
(3)开启Telnet功能
[Core-B]telnet server enable
(4)SSH配置
[Core-B]ssh user telnet-ssh authentication-type password
[Core-B]ssh user ccieh3c authentication-type password
[Core-B]ssh user ccieh3c service-type stelnet
[Core-B]stelnet server enable
(5)测试结果
Telnet测试【普通用户】
可以配置OSPF等功能,但是无法进入AAA
重启功能也不支持。
管理员用户测试
可以看到是支持重启功能的。
Ssh 测试【以管理员为例】
说明:第一次登陆需要信任该key,可以看到已经登陆了
Console登陆【验证是否需要帐号密码】
可以看到刚登陆进去就提示需要输入用户名与密码。
其余设备与防火墙配置管理
说明:防火墙与其他设备的方法与介绍的一致,所以就不重复了。
只允许特点的管理IP进行管理
说明:我们希望只允许特定的管理人员或者PC进行管理,而其余的不能管理。假设管理IP地址为192.168.1.250
定义ACL
[Core-B]acl number 2000
[Core-B-acl-basic-2000]rule permit source 192.168.1.250 0
在VTY下调用
[Core-B]user-interface vty 0 4
[Core-B-ui-vty0-4]acl 2000 inbound
当地址方式了变化后
可以发现一直Telnet不上去了。
本文首发于公众号:网络之路博客