No se encuentran recursos de mapeo en el idioma seleccionado.

Ejemplos típicos de configuración de la serie Sx300

Rate and give feedback:
Acerca de la traducción
Huawei ha traducido este documento a diferentes idiomas combinando la traducción automática con la revisión humana a fin de permitirle entender mejor su contenido. Nota: Sin importar lo avanzada que sea, la traducción automática no puede igualar la calidad que proporcionan los traductores profesionales. Huawei no asume ninguna responsabilidad por la precisión de las traducciones y recomienda consultar el documento escrito en inglés (al cual puede acceder mediante el enlace proporcionado).
Ejemplo de uso de una ACL para restringir los derechos de acceso FTP

Ejemplo de uso de una ACL para restringir los derechos de acceso FTP

Descripción general de la ACL

Una Lista de control de acceso (ACL) consiste en una regla o un conjunto de reglas que describen las condiciones de coincidencia de paquetes. Estas condiciones incluyen direcciones de origen, direcciones de destino y números de puerto de paquetes.

Una ACL filtra paquetes basados ​​en reglas. Un dispositivo con una ACL configura coincidir con paquetes basados ​​en las reglas para obtener los paquetes de un cierto tipo, y luego decide reenviar o descartar estos paquetes de acuerdo con las políticas utilizadas por el módulo de servicio al que se aplica la ACL.

Según los métodos de definición de reglas, las ACL incluyen ACL básica, ACL avanzada y ACL de Capa 2. Una ACL básica define reglas para filtrar paquetes IPv4 en función de información como direcciones IP de origen, información de fragmento y rangos de tiempo. Si solo necesita filtrar paquetes en función de las direcciones IP de origen, puede configurar una ACL básica.

En este ejemplo, se aplica una ACL básica al módulo FTP para permitir que solo los clientes especificados accedan al servidor FTP, mejorando la seguridad del servidor FTP.

Notas de configuración

  • En este ejemplo, la contraseña del usuario local está en modo de irreversible-cipher, lo que indica que la contraseña se cifra utilizando el algoritmo irreversible. Los usuarios no autorizados no pueden obtener la contraseña a través del descifrado. Por lo tanto, este algoritmo es seguro. Este modo de contraseña solo se aplica a V200R003C00 y versiones posteriores. En versiones anteriores a V200R003C00, las contraseñas de los usuarios locales solo pueden estar en modo de cipher, lo que indica que las contraseñas se cifran utilizando el algoritmo reversible. Los usuarios no autorizados pueden obtener las contraseñas a través del descifrado. Este algoritmo es menos seguro.

  • Este ejemplo se aplica a todas las versiones de todos los switches de la serie S.

Requisitos de red

Como se muestra en Figura 12-1, el Switch funciona como un servidor FTP. Los requisitos son los siguientes:

  • Todos los usuarios en la subred 1 (172.16.105.0/24) son permitidos para acceder al servidor FTP en cualquier momento.
  • Todos los usuarios en la subred 2 (172.16.107.0/24) son permitidos para acceder al servidor FTP solo durante el período de tiempo especificado.
  • Otros usuarios no pueden acceder al servidor FTP.

Las rutas accesibles existen entre los Switch y subredes. Debe configurar el Switch para limitar el acceso del usuario al servidor FTP.

Figura 12-1  Uso de las ACL básicas para restringir los derechos de acceso FTP

Procedimiento

  1. Configure un rango de tiempo.

    <Quidway> system-view
    [Quidway] sysname Switch
    [Switch] time-range ftp-access from 0:0 2014/1/1 to 23:59 2014/12/31  //Cree un rango de tiempo absoluto para una ACL.
    [Switch] time-range ftp-access 14:00 to 18:00 off-day    //Cree un rango de tiempo periódico para una ACL. El rango de tiempo es de 14:00-18:00 todos los fines de semana. El período de validez de ftp-access es la superposición de los dos rangos de tiempo.

  2. Configure una ACL básica.

    [Switch] acl number 2001
    [Switch-acl-basic-2001] rule permit source 172.16.105.0 0.0.0.255  //Permita a los usuarios del segmento de red 172.16.105.0/24 acceder al servidor FTP en cualquier momento.
    [Switch-acl-basic-2001] rule permit source 172.16.107.0 0.0.0.255 time-range ftp-access  //Permita a los usuarios del segmento de red 172.16.107.0/24 acceder al servidor FTP solo en el rango de tiempo de ftp-access.
    [Switch-acl-basic-2001] rule deny source any  //Evite que otros usuarios accedan al servidor FTP.
    [Switch-acl-basic-2001] quit

  3. Configure funciones FTP básicas.

    [Switch] ftp server enable  //Habilite el servidor FTP para permitir que los usuarios inicien sesión en el dispositivo a través de FTP.
    [Switch] aaa            
    [Switch-aaa] local-user huawei password irreversible-cipher SetUserPassword@123  //Configure el nombre de usuario y contraseña de FTP. La contraseña en modo de irreversible-cipher solo se aplica a V200R003C00 y las versiones posteriores. En versiones anteriores a V200R003C00, solo se pueden usar las contraseñas en modo de cipher.
    [Switch-aaa] local-user huawei privilege level 15  //Establezca el nivel de usuario de FTP.
    [Switch-aaa] local-user huawei service-type ftp  //Establezca el tipo de servicio de usuario de FTP.
    [Switch-aaa] local-user huawei ftp-directory cfcard:/  //Configure el directorio de trabajo de FTP, que debe configurarse como flash:/ en un switch fijo.
    [Switch-aaa] quit
    

  4. Configure los permisos de acceso en el servidor FTP.

    [Switch] ftp acl 2001  //Aplique una ACL al módulo FTP.

  5. Verifique la configuración

    Ejecute el comando ftp 172.16.104.110 en el PC1 (172.16.105.111/24) en la subred 1. El PC1 se puede conectar al servidor FTP.

    Ejecute el comando ftp 172.16.104.110 en el PC2 (172.16.107.111/24) en la subred 2 el lunes de 2014. El PC2 no se puede conectar al servidor FTP. Ejecute el comando ftp 172.16.104.110 en el PC2 (172.16.107.111/24) en la subred 2 a las 15:00 un sábado de 2014. La PC2 se puede conectar al servidor FTP.

    Ejecute el comando ftp 172.16.104.110 en el PC3 (10.10.10.1/24). PC3 no se puede conectar al servidor FTP.

Archivos de configuración

Archivo de configuración de Switch

#
sysname Switch
#
FTP server enable
FTP acl 2001
#
time-range ftp-access 14:00 to 18:00 off-day
time-range ftp-access from 00:00 2014/1/1 to 23:59 2014/12/31
#
acl number 2001
 rule 5 permit source 172.16.105.0 0.0.0.255
 rule 10 permit source 172.16.107.0 0.0.0.255 time-range ftp-access
 rule 15 deny 
#
aaa
 local-user huawei password irreversible-cipher %^%#uM-!TkAaGB5=$$6SQuw$#batog!R7M_d^!o{*@N9g'e0baw#%^%#
 local-user huawei privilege level 15
 local-user huawei ftp-directory cfcard:/
 local-user huawei service-type ftp
#
return
Descargar
Updated: 2018-08-15

N.° del documento: EDOC1100027119

Vistas:15844

Descargas: 131

Average rating:
This Document Applies to these Products
Documentos relacionados
Related Version
Share
Anterior Siguiente