VTY里的ACL限制设置为允许通过,但其下挂网管VPN内的网管服务器仍然无法登陆设备

发布时间:  2012-07-27 浏览次数:  129 下载次数:  0
问题描述
某IP承载网,为保障网络接入安全,客户要求在设备VTP里添加ACL权限,只允许下挂网管VPN内的网管服务器地址可以登陆设备,设备版本为V300R002C06B325,添加配置如下:
acl 2007
rule 5 permit source 10.0.102.113 0 
rule 500 deny
注:(10.0.102.113为下挂网管VPN内网管服务器地址)
user-interface vty 0 4
 acl 2007 inbound
 authentication-mode aaa
 protocol inbound all
添加以上配置后却发现从下挂的网管VPN内的网管服务器无法登陆设备。
告警信息
网管服务器无法登陆设备
处理过程
修改配置为:
acl 2007
rule 5 permit vpn-instance  XXX source 10.0.102.113 0
rule 500 deny
#
user-interface vty 0 4
 acl 2007 inbound
 authentication-mode aaa
 protocol inbound all
根因
V300R002C06B325版本下,在acl 2000~2999 下,如果VPN业务内的地址要访问设备,需要在ACL里增加VPN实例名,例如:
acl 2007
rule 5 permit  vpn-instance XXX source 10.0.102.113 0
注:XXX为vpn实例名
建议与总结

END