关于楼宇交换机等接入设备的登陆限制.docVIP

关于楼宇交换机等接入设备的登陆限制 设备中心数据机房 随着QINQ改造的进行，很多的楼宇交换机都更换为可网管的交换机，随着楼宇交换机数量的增多，对楼宇交换机的管理面临了极大挑战：楼宇交换机暴露在公网上，城域网内任何合法地址都可以登陆交换机，交换机的密码相对简单，知道交换机密码的人多，交换机的安全性出现了极大的隐患，如果在楼宇交换机上进行登陆限制的制作，将会出现以下问题：楼宇交换机的型号繁杂，制作ACL命令复杂，有的交换机不支持多条ACL的制作；一旦因为业务的需求想更改登陆的范围，将要登陆几千台交换机进行修改数据，工作量极大。 枣庄实现情况：枣庄的楼宇交换机的网关都是起在S8512,这样我们想从S8512交换机上的下联口直接进行ACL的制作，来控制楼宇交换机的登陆范围，但是由于下连口还有QINQ的制作数据，ACL应用在下联口上和原来的数据的流模版冲突，数据没法在8512上制作，于是我们把网管进一步上移到了5200G上，我们在5200G上制作策略，来控制楼宇交换机的登陆，这样我们制作策略后直接更改策略，并不要在每个楼宇交换机上甚至不用在各个子接口上来更改用户的数据，就可以完成登陆数据的制作和修改，非常方便省劲。 具体制作步骤及做法如下： 把楼宇交换机的网管做到5200G上.地址要按规划进行制作,否则可能造成地址冲突. interface GigabitEthernet1/0/1.106