要求：PC与接入交换机Client间路由可达，Client与服务器Server间路由可达。用户希望实现对远程设备Server的管理与维护，不过终端PC与远程设备Server间不能直接Telnet远程登录到Server。用户可以通过Telnet登录到Client，再从Client通过Telnet登录到需要管理的设备Server。为了防止其他非法设备通过Telnet方式登录Server，配置ACL规则只允许Client通过Telnet方式登录Server。

一、本节知识点：

ACL：访问控制列表（Access Control Lists）是应用在路由器接口的指令列表。这些指令列表用来告诉路由器哪些数据包可以收、哪些数据包需要拒绝。至于数据包是被接收还是拒绝，可以由类似于源地址、目的地址、端口号等的特定指示条件来决定。

二、配置思路：

1.配置pc1到接入交换机Client路由可达，接入交换机Client到服务器Server可达。

2. 在Server上配置Telnet验证方式。

3.在Server上配置登录用户的相关信息。

3. 在Server上配置ACL规则允许Client1登录。

4. 从Client上Telnet登录到Server。

三、IP设置：

交换机：1、pc1:192.168.10.1/24 ，加入vlan 10

2、Client管理地址：192.168.10.254/24

3、Server管理地址：10.10.1.2/24

四、接入交换机Client的配置文件：

#

sysname Client

#

vlan batch 10 20 //创建vlan10和20

#

aaa //aaa 认证方式

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple 123456 //设置本地用户名admin和密码123456，用户名不区分大小写，密码区分大小写

local-user admin privilege level 15 //本地用户admin的权限级别为15级，最高级

local-user admin service-type telnet //本地用户admin支持telnet协议

#

interface Vlanif10 //创建vlan10三层接口

ip address 192.168.10.254 255.255.255.0 //设置交换机管理IP地址

#

interface Vlanif20 //创建vlan20三层接口

ip address 10.10.1.1 255.255.255.0 //设置与Server 互通的IP地址

#

interface Ethernet0/0/1

port link-type access

port default vlan 10 //该接口加入到vlan10

#

interface Ethernet0/0/2

port link-type trunk //与server连接的端口为trunk

port trunk allow-pass vlan 20 //只允许vlan20 通过

#

user-interface con 0

user-interface vty 0 4 //Telnet常用于设备管理员登录，推荐使用AAA认证，设置用户0-4共5个虚拟用户界面

authentication-mode aaa //认证方式为aaa

user privilege level 15 //权限级别为最高级15级

#

return

五、服务器Server的配置文件：

#

sysname Server

#

vlan batch 20

#

acl number 2000 //创建基础访问控制列表

rule 5 permit source 10.10.1.1 0 //只允许源地址为10.10.1.1的ip通过，其他IP都被拒绝。

#

aaa

authentication-scheme default

authorization-scheme default

accounting-scheme default

domain default

domain default_admin

local-user admin password simple 123456

local-user admin privilege level 15

local-user admin service-type telnet

#

interface Vlanif20

ip address 10.10.1.2 255.255.255.0

#

interface GigabitEthernet0/0/1

port link-type trunk

port trunk allow-pass vlan 20

#

user-interface con 0

user-interface vty 0 4

acl 2000 inbound //访问控制列表2000被应用到telnet中。

authentication-mode aaa

user privilege level 15

#

return

六、验证配置结果：

1、 网管PC用Telnet登录到接入交换机Client，再通过telnet登录到Server。