FAQ-CE6850 SSH鉴权流程优先于acl处理

发布时间:  2014-09-11 浏览次数:  581 下载次数:  0
问题描述
Q:
配置了ACL禁止访问以后,为什么SSH登录CE6850时还提示要输入用户及密码?
告警信息
2013-12-18 16:13:13 Failed to login through SSH. (ServiceType=stelnet, UserName=Could not extract user name, IPAddress=1x.x.x.122, FailedReason=Acl verification failed.)
2013-12-18 16:13:02 Failed to login through SSH. (ServiceType=stelnet, UserName=Could not extract user name, IPAddress=1x.x.x.122, FailedReason=Acl verification failed.)
处理过程
A:
CE6850设备配置示例:
acl number 2000
rule 5 permit vpn-instance guanli source 1.1.1.1 0
#
user-interface vty 0 4
authentication-mode aaa
protocol inbound ssh
#
VRP V8版本VTY下ACL检查在SSH之后,当SSH登录CE6850时,先执行SSH动作(即输入用户名密码的交互),然后执行ACL策略,日志信息记录登陆失败的日志。
根因
建议与总结
平台版本差异:
V5版本VTY下ACL检查在SSH之前,当登陆设备时,数据被ACL匹配执行,hwtacacs上没有任何攻击登陆的记录。
V8版本VTY下ACL检查在SSH之后,当登陆设备时,先执行SSH服务提示输入用户名密码交互后,再ACL拒绝掉连接,这时hwtacacs就记录了用户登陆失败的日志。

END