引言：當(dāng)前互聯(lián)網(wǎng)的發(fā)展是飛速的，信息的交換量也出現(xiàn)了空前的膨脹，作為網(wǎng)絡(luò)運(yùn)維人員，面對(duì)復(fù)雜的互聯(lián)網(wǎng)內(nèi)外部環(huán)境，做好設(shè)備的安全工作日益顯得重要起來(lái)，下面就結(jié)合一個(gè)案例來(lái)具體介紹一下限制用戶登錄核心路由器的配置方法。

做為核心路由器，它擔(dān)負(fù)著網(wǎng)絡(luò)內(nèi)部橫向數(shù)據(jù)流量和出網(wǎng)縱向流量的高速轉(zhuǎn)發(fā)，為了降低設(shè)備的風(fēng)險(xiǎn)系數(shù)，我們決定將嚴(yán)格限制遠(yuǎn)程登錄設(shè)備的用戶。目前遠(yuǎn)程登錄設(shè)備的方式主要有兩種即ssh和telnet。ssh是安全外殼協(xié)議，在登錄設(shè)備后數(shù)據(jù)傳輸?shù)倪^(guò)程中是加密的，而telnet方式數(shù)據(jù)的傳輸則是明文的，所以我們這次將開(kāi)啟設(shè)備的SSH功能，并且只允許特定的用戶訪問(wèn)核心路由器。如何才能只允許特定的用戶訪問(wèn)呢？這里就需要使用ACL，ACL即訪問(wèn)控制列表，它可以過(guò)濾網(wǎng)絡(luò)中的流量，是控制訪問(wèn)的一種網(wǎng)絡(luò)技術(shù)手段。下面我們首先定義ACL配置命令即：

在ACL的條目中我們又定義了允許的IP地址段。剛才我們只是定義了一個(gè)ACL，并沒(méi)有將該ACL應(yīng)用，所以ACL是不起作用的。那么接下來(lái)我們將該ACL應(yīng)用到ssh中去，配置命令即：

我們將ACL應(yīng)用到了SSH中，同時(shí)將SSH功能也進(jìn)行了開(kāi)啟，為了保證設(shè)備的安全，我們還關(guān)閉了設(shè)備的telnet服務(wù)。這樣將最大程度保證設(shè)備的安全。通過(guò)剛才的配置我們先對(duì)ACL進(jìn)行定義，并且將ACL應(yīng)用到了遠(yuǎn)程登錄的SSH中，實(shí)現(xiàn)了ACL在SSH中應(yīng)用，只有匹配該ACL條目的流量才能允許登錄設(shè)備，而其他流量將會(huì)被丟棄，最后我們還關(guān)閉了設(shè)備的telnet服務(wù)，配置完這些后，我們嘗試使用非ACL允許條目中的IP地址無(wú)論是telnet還是SSH登錄設(shè)備都不能成功，這樣就說(shuō)明我們配置是正確的，達(dá)到了限制用戶登錄設(shè)備的目的。其實(shí)在網(wǎng)絡(luò)的日常維護(hù)中，作為網(wǎng)絡(luò)運(yùn)維人員，思想要開(kāi)闊，多留意、多考慮網(wǎng)絡(luò)架構(gòu)，只有從小的一點(diǎn)一滴的入手，正如不積小流無(wú)以成江河是一個(gè)道理，正是這樣一個(gè)個(gè)不起眼的小措施，才會(huì)筑牢我們網(wǎng)絡(luò)的防火墻，如果說(shuō)我們放任這些小漏洞，那么這樣無(wú)疑給網(wǎng)絡(luò)的安全埋下了一個(gè)安全隱患，我們不能杜絕網(wǎng)絡(luò)安全事件的發(fā)生，但是我們要盡量降低網(wǎng)絡(luò)遭受威脅的系數(shù)，從而為網(wǎng)絡(luò)的健康發(fā)展提供堅(jiān)強(qiáng)的壁壘。