FAQ-配置了acl后,虽然PC地址添加到了访问列表中,为什么仍然无法telnet登陆

发布时间:  2012-07-26 浏览次数:  67 下载次数:  0
问题描述
Q:配置了acl并且在全局下引用,虽然PC地址添加到了ACL允许的地址列表中,但在telnet主机时候仍然提示无法登录。
告警信息
处理过程
A:
1、检查PC的地址确实已经添加到了访问列表中,并且该访问列表确实添加到了vty设置中。
2、再次添加一个地址,并尝试访问,但系统提示拒绝;
3、检查acl配置,发现配置acl时没有指定匹配顺序,系统默认匹配顺序为config;
4、用户先前在该acl中配置了相关的rule,并且在最后添加了rule deny。但是用户后来将其中的某些rule删除了,然后重新添加上来,这个时候,MA5200F系统仍然给这些新添加的rule分配原先空闲的rule编号。所以此时看到的acl配置中,rule deny仍然是最后一条,但是这条数据却不是最后配置的一条。此时,做过删除并重新添加的rule对应的PC是不能登陆上来的。
5、解决方法有:A、删除rule deny,然后重新添加;B、在添加acl时同时指定起匹配顺序为auto。
根因
ACL配置默认匹配顺序为配置优先,可以通过命令设置为自动,即深度优先

END