MA5200由于ACL掩码不连续导致telnet访问控制不生效

发布时间:  2012-07-26 浏览次数:  108 下载次数:  0
问题描述
MA5200配置telnet访问控制,将要访问设备的地址添加到acl中后,还是无法登录设备,提示“远端控制连接关闭”。
      
告警信息

      
处理过程
1、查看MA5200F配置,vty部分配置没有问题,vty 0 4应用一致。
2、查看acl配置:
acl number 2000
     ......
 rule x permit source x.x.x.0 0.0.0.16
     ......
 用户源地址为x.x.x.9,掩码配置错误,应该配置为x.x.x.0 0.0.0.15,修改后,问题解决。
      
根因
用户想要配置的掩码为0.0.0.15(掩码最后8位为“00001111”),而实际却配置成了0.0.0.16(掩码最后8位为“00010000”),这样导致掩码出错,无法匹配到ACL从而用户无法登录。
建议与总结
      MA5200F/G的ACL中ip地址段的掩码都是反掩码,在配置的时候一定要注意,一般情况下配置的掩码都是最后为连续N个1,这时换算成十进制应当为2^N-1,而不是2^N。除此之外,在配置其它业务用到ACL的时候也一样要注意是否有类似的情况产生。

END