2020-01-02 华为OLT访问控制的两种方式

2020-01-02  本文已影响0人  AK蜗牛

华为OLT访问控制的两种方式

简单写一下如何提高华为OLT的安全性,配置访问控制。以MA5800为例,默认firewall和sysman都是关闭的。
先看ACL,这个大家比较熟悉。
1.首先打开防火墙。

huawei(config)#firewall enable

2.添加访问列表,比如允许远程终端10.10.10.0/24可以访问设备

huawei(config)#acl 3000
huawei(config-acl-adv-3000)#rule 10 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.10.1 0
huawei(config-acl-adv-3000)#rule 20 deny ip destination 10.10.10.2 0
#说明:这里的掩码是反掩码,拒绝规则里source any默认不显示出来

3.在接口的入方向上应用访问列表

    带内: 
    huawei(config)#interface vlanif 100
    huawei(config-if-vlanif100)#firewall packet-filter 3000 inbound
    带外:
    huawei(config)#interface meth 0
    huawei(config-if-meth0)#firewall packet-filter 3000 inbound

另一种方式是sysman, 看下sysman有什么选项:

    huawei(config)#sysman ?
    ---------------------------------------------
      Command of config Mode:
    ---------------------------------------------
    console           Status of console switch
    firewall          The status of firewall switch
    ip-access         Operation  on access IP table
    ip-refuse         Operation on refuse IP table
    service           Net service
    vpn-instance      Configure the management VPN
    ---------------------------------------------
      Command of privilege Mode:
    ---------------------------------------------
    centralized-mgmt  Centralized management
    source            Source interface configuration information

有意思的是,ip-access和ip-refuse两个选项,第一个是列表里的ip/网段可以访问OLT,第二个是相反,在列表里的ip/网段不能访问。

sysman 除了可以对SNMP,SSH和Telnet进行控制外,还可以对服务类型进行配置,如ftp,ntp等。
配置的时候,不需要输入掩码,需要输入的是IP地址范围,比用ACL控制更加灵活方便。

上一篇下一篇

猜你喜欢

热点阅读