U2000使用SSH或Telnet到设备功能不可用

发布时间:  2014-12-26 浏览次数:  332 下载次数:  0
问题描述
在U2000服务器上登录客户端可以正常使用SSH或Telnet正常登录到网元,但在其它非服务器客户端上使用SSH或telnet登录网元时,登录框一闪而过,无法正常使用。
处理过程
检查Porttrunk代理服务器访问控制设置(系统 > 网管安全 > 代理服务访问控制列表),发现其只设置访问客户端源地址设置为127.0.0.1导致了非服务器客户端无法正常登录到网元。

修改为:

修改后可以其它客户端软件均可使用SSH或Telnet正常登录网元。
根因
Porttrunk代理服务器访问控制设置问题导致。
建议与总结
Porttrunk代理服务器访问控制
功能描述
Porttrunk的ACL用于限制可访问Porttrunk的代理功能的源IP和目的IP和端口。
ACL规则配置文件存储目录为$IMAP_ROOT/etc/porttrunking/,ACL规则配置文件有三个:
1)源IP配置文件(acl_client_rule.cfg )  //通过代理服务访问控制列表界面只能够配置访问源IP地址,即客户端地址。
2)手动修改的目的IP配置文件(acl_ne_rule.cfg) //无法通过界面修改,如需要实现客户端访问网网权限设置,可手工修改此文件,修改客户端访问网元的目的IP地址。
3)接口注入修改的目的IP配置文件(acl_ne_rule_1.cfg)//不能手工修改

Porttrunk ACL处理规则:
1) 规则比较方式:从上往下进行比较,如果匹配成功,直接退出比较;如果所有规则都没有匹配成功,拒绝代理请求。只是严格按照顺序比较。
2) 目的IP规则: 优先匹配手工配置的规则,再匹配接口注入的规则。手动配置支持网段,接口注入的不支持网段,不支持设置为拒绝。
3) 手工修改的规则文件,在下一次连接代理请求时生效,如果规则文件有更新,则重新加载;已经建好的连接代理请求,不会根据新规则自动断链(失效)。手工修改的文件在solaris和linux在修改完成后最好使用touch命令更新文件时间。
 
配置源IP
源IP配置文件名为acl_client_rule.cfg ,这个配置文件用于配置连接Porttrunk的源IP。
源IP配置规则文件的格式如下:
1)IP地址允许配置网段或单独IP
有效网段掩码配置支持 [1-32]
2)规格的处理行为:A 接受 ,R 拒绝。
3)每行只能配置一条规则,不支持一行配置多个规则。
规则格式为:IP地址[/网段],处理行为(A,接受;R,拒绝),网段是可选的,取值范围为[1-32]。
例子:
10.76.123.99,A
10.76.124.0/24,R
10.76.125.0/24,A
 
配置目的IP
目的IP配置有两个配置文件:acl_ne_rule.cfg和acl_ne_rule_1.cfg。
acl_ne_rule.cfg用于手工配置规则,acl_ne_rule_1.cfg用于程序通过接口注入方式配置规则,acl_ne_rule_1.cfg不能手动修改。
目的IP配置规则文件给则如下:
1)IP地址允许配置网段或单独IP
     有效网段掩码配置支持 [1-32]
2) 端口可以配置范围以及列表,端口列表之间采用|斜杠分割,端口范围使用'-'分隔。
    有效端口范围支持 [1-65535]
3) 规格的处理行为:A 接受 ,R 拒绝。
4)每行只能配置一条规则,不支持一行配置多个规则。
规则格式为:IP地址,端口列表,处理行为(A,接受;R,拒绝)
例子:
10.71.123.99,22|80|9990-9995,A
10.71.124.24,8080|9990-9995,A
10.71.125.23,6000,R 

END