华为OLT访问控制的两种方式
简单写一下如何提高华为OLT的安全性,配置访问控制。以MA5800为例,默认firewall和sysman都是关闭的。
先看ACL,这个大家比较熟悉。
1.首先打开防火墙。
huawei(config)#firewall enable
2.添加访问列表,比如允许远程终端10.10.10.0/24可以访问设备
huawei(config)#acl 3000
huawei(config-acl-adv-3000)#rule 10 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.10.1 0
huawei(config-acl-adv-3000)#rule 20 deny ip destination 10.10.10.2 0
#说明:这里的掩码是反掩码,拒绝规则里source any默认不显示出来
3.在接口的入方向上应用访问列表
带内:
huawei(config)#interface vlanif 100
huawei(config-if-vlanif100)#firewall packet-filter 3000 inbound
带外:
huawei(config)#interface meth 0
huawei(config-if-meth0)#firewall packet-filter 3000 inbound
另一种方式是sysman, 看下sysman有什么选项:
huawei(config)#sysman ?
---------------------------------------------
Command of config Mode:
---------------------------------------------
console Status of console switch
firewall The status of firewall switch
ip-access Operation on access IP table
ip-refuse Operation on refuse IP table
service Net service
vpn-instance Configure the management VPN
---------------------------------------------
Command of privilege Mode:
---------------------------------------------
centralized-mgmt Centralized management
source Source interface configuration information
有意思的是,ip-access和ip-refuse两个选项,第一个是列表里的ip/网段可以访问OLT,第二个是相反,在列表里的ip/网段不能访问。
sysman 除了可以对SNMP,SSH和Telnet进行控制外,还可以对服务类型进行配置,如ftp,ntp等。
配置的时候,不需要输入掩码,需要输入的是IP地址范围,比用ACL控制更加灵活方便。
网友评论