通过acl限制用户telnet登陆S9300交换机不生效

发布时间:  2015-04-28 浏览次数:  367 下载次数:  0
问题描述
通过acl限制用户telnet登陆S9300交换机不生效:交换机有多个ip地址,想实现只允许用户telnet登陆管理地址192.168.1.1,不允许通过其他的ip地址telnet交换机。
acl及vty界面的配置如下:
acl number 3000
 rule 5 permit ip destination 192.168.1.1 0
 rule 10 deny ip
user-interface vty 0 4
 acl 3000 inbound
 authentication-mode aaa
 protocol inbound telnet
告警信息


处理过程
1、acl配置没有问题
2、在vty界面引用的方向也是正确的。
3、通过全配置发现用户有多个vtyuser-interface vty 0 4
 acl 3000 inbound
 authentication-mode aaa
 user privilege level 3
 idle-timeout 0 0
 screen-length 25
 protocol inbound telnet
user-interface vty 5 14
 authentication-mode aaa
 user privilege level 3
 idle-timeout 0 0
 screen-length 25
 protocol inbound telnet
user-interface vty 16 20
 protocol inbound telnet
通过display users 发现有两个用户,用户编号分别为 vty0 和vty5,怀疑是登陆需要限制的地址时,通过vty 5 15 界面登陆了。在vty 5 15 和vty 16 20 界面引用了acl 3000 inbound后,需要限制登陆的地址就不能登陆。
根因

用户telnet登陆,存在多个vty 界面时,如果只对其中一个vty 界面做了限制,用户登陆的时候会通过别的vty上线,需要对所有的vty做限制。

解决方案
如果有多个vty ,需要将每个vty 界面都配置上acl 3000 inbound
建议与总结

限制用户登陆设备时,需要确定acl的配置以及acl 在vty界面的引用方向,很多时候 vty不会太多,如果有多个,需要在每个vty下做acl限制。


END