華為OLT訪問控制的兩種方式
簡(jiǎn)單寫一下如何提高華為OLT的安全性档泽,配置訪問控制。以MA5800為例揖赴,默認(rèn)firewall和sysman都是關(guān)閉的馆匿。
先看ACL,這個(gè)大家比較熟悉燥滑。
1.首先打開防火墻渐北。
huawei(config)#firewall enable
2.添加訪問列表,比如允許遠(yuǎn)程終端10.10.10.0/24可以訪問設(shè)備
huawei(config)#acl 3000
huawei(config-acl-adv-3000)#rule 10 permit ip source 10.10.10.0 0.0.0.255 destination 10.10.10.1 0
huawei(config-acl-adv-3000)#rule 20 deny ip destination 10.10.10.2 0
#說明:這里的掩碼是反掩碼铭拧,拒絕規(guī)則里source any默認(rèn)不顯示出來
3.在接口的入方向上應(yīng)用訪問列表
帶內(nèi):
huawei(config)#interface vlanif 100
huawei(config-if-vlanif100)#firewall packet-filter 3000 inbound
帶外:
huawei(config)#interface meth 0
huawei(config-if-meth0)#firewall packet-filter 3000 inbound
另一種方式是sysman, 看下sysman有什么選項(xiàng):
huawei(config)#sysman ?
---------------------------------------------
Command of config Mode:
---------------------------------------------
console Status of console switch
firewall The status of firewall switch
ip-access Operation on access IP table
ip-refuse Operation on refuse IP table
service Net service
vpn-instance Configure the management VPN
---------------------------------------------
Command of privilege Mode:
---------------------------------------------
centralized-mgmt Centralized management
source Source interface configuration information
有意思的是赃蛛,ip-access和ip-refuse兩個(gè)選項(xiàng)恃锉,第一個(gè)是列表里的ip/網(wǎng)段可以訪問OLT,第二個(gè)是相反呕臂,在列表里的ip/網(wǎng)段不能訪問破托。
sysman 除了可以對(duì)SNMP,SSH和Telnet進(jìn)行控制外歧蒋,還可以對(duì)服務(wù)類型進(jìn)行配置土砂,如ftp,ntp等谜洽。
配置的時(shí)候萝映,不需要輸入掩碼,需要輸入的是IP地址范圍阐虚,比用ACL控制更加靈活方便序臂。
