由于acl配置没有关联vpn导致外网无法telnetNE40E

发布时间:  2012-07-27 浏览次数:  137 下载次数:  0
问题描述
在user-interface vty 下加acl inbound后,无论rule是permit ip any any还是permit source 具体ip地址段,外网都登录不上了。
告警信息

处理过程
1、将user-interface vty下的acl 2000 inbound取消掉,外网就可以登录设备,说明路由可通;
2、问题还是归结到acl的配置上来。一般情况下对于permit ip any any的情况,数据包应该都可以通过的,但测试的结果就是无法登录。
3、查看设备配置,发现设备配置了多个vpn,从外网登录时可能是属于某vpn的流量,在设备上可以逐个查看:
display ip rout 210.21.x.x   //公司服务器地址                       
dis ip rout vpn CDMA-AAA 210.21.x.x
dis ip rout vpn CDMA-IT 210.21.x.x
dis ip rout vpn CDMA-NGN 210.21.x.x
dis ip rout vpn CDMA-NGN-MGNT 210.21.x.x
dis ip rout vpn CDMA-Outband 210.21.x.x
dis ip rout vpn CDMA-PI0 210.21.x.x
Route Flags: R - relay, D - download to fib                                     
------------------------------------------------------------------------------  
Routing Table : CDMA-PI0                                                        
Summary Count : 1     
Destination/Mask    Proto  Pre  Cost     Flags NextHop         Interface
   0.0.0.0/0        Static 100  0       D  218.65.y.y   GigabitEthernet1/0/8
发现仅vpn CDMA-PI0有客户端210.21.x.x的路由,在acl 2000中将rule关联到vpn CDMA-PI0:
acl number 2000 
 rule 5 permit vpn-instance CDMA-PI0 source 210.21.x.x 0 
再将acl下发到user-interface vty下,从210.21.x.x上就可以登录设备了。
根因
1、外网与该设备原本就路由不通。
2、acl配置的问题。
建议与总结
在限制登录设备的源地址时,需要看这些源地址的流量是否属于vpn中的流量,acl的rule需要与相应的vpn关联。

END