CE12800 ssh登录带外地址认证失败,带内正常

发布时间:  2016-12-26 浏览次数:  133 下载次数:  0
问题描述
CE12800 V1R5C00
管理网口配置带外地址(绑定vrf),ssh登录时认证失败,报错如下:
The server has disconnected with an error.  Server message reads:
A protocol error occurred. The connection is closed by SSH Server
用户侧登录带内ip地址(vlanif接口ip),登录正常,大致配置如下:
#
acl number 2089
 rule 5 permit source 11.0.240.0 0.15.15.255
 rule 10 permit source 11.2.16.0 0.0.1.255
 rule 15 permit source 11.2.67.0 0.0.0.255
 rule 20 permit source 11.16.240.0 0.15.15.255
 rule 25 permit source 11.18.16.0 0.0.1.255
 rule 30 permit source 11.18.68.0 0.0.0.255
 rule 35 permit source 21.12.1.0 0.0.0.255
 rule 40 permit source 21.12.2.0 0.0.0.255
 rule 45 permit source 21.12.129.0 0.0.0.255
 rule 50 permit source 21.120.240.0 0.7.15.255
 rule 55 permit source 21.122.16.0 0.0.1.255
 rule 60 permit source 21.122.132.0 0.0.1.255
 rule 65 permit source 21.186.129.142 0
 rule 70 permit source 21.188.47.0 0.0.0.63
#
interface Vlanif1151
 ip address 21.124.151.2 255.255.255.0
#
interface MEth0/0/0
 ip binding vpn-instance VRF-MGMT
 ip address 11.12.35.35 255.255.255.0
#
user-interface vty 0 15
 acl 2089 inbound
 authentication-mode aaa
 idle-timeout 5 0
 protocol inbound ssh
#
处理过程
1、带内ip登陆正常,说明当前登陆用户数未满,不可能用户数达到上限导致;同时配置上带内ip无vpn实例、带外有vpn实例,可能vpn原因或者中间设备过滤导致;
2、pc与管理网口之间无防火墙等访问控制设备,配置上发现当前vty接口下有配置访问控制列表,会对用户登录进行限制;查看用户登陆ip,属于acl内的放通网段,但是acl未绑定vpn实例,理论上对应rule内需要添加vpn-instance才可以登陆
[S12708-acl-adv-3001]rule 9 permit tcp source *.*.*.* 0 vpn-instance VRF-MGMT
更改rule后登陆成功

根因

访问控制列表配置错误,rule未绑定VRF

解决方案
对应rule增加VRF
建议与总结

配置访问控制列表时请务必注意该数据流是如何进入设备,vpn数据里注意rule与vpn-instance的绑定

END