CE12808设备在vty下使用ACL限制IP登录,不在acl允许范围内的IP,可以与设备建立ssh连接

发布时间:  2017-01-22 浏览次数:  868 下载次数:  0
问题描述

1.问题描述:

CE12808 V2R1C00SPC700版本,在VTY下使用ACL限制部分IP登录设备,不在acl允许范围内的IP用户ssh登录设备,可以与设备建立ssh连接,并且能正常输出用户名和密码;


2.12808部分配置如下:

#                                                                                               
Basic ACL 2020, 3 rules                                                                          
ACL's step is 5                                                                                  
 rule 5 permit source 10.65.0.12 0 (4 times matched)                                             
 rule 15 permit source 10.65.3.1 0 (0 times matched)                                             
 rule 20 permit source 10.127.112.8 0.0.0.7 (0 times matched)                                    
#
user-interface vty 0 4
 acl 2020 inbound
 authentication-mode aaa
 protocol inbound ssh
#

3.故障现象(不在ACL允许范围内的IP用户是可以ssh登录设备,但是输入完用户名和密码,设备会断开ssh连接) [root@localhost ~]# ssh admin@10.127.112.2 admin@10.127.112.2's password: shell request failed on channel 0 Warning : VTY ACL does not protect SSH login attacks, it is recommended to use SSH server ACL.

解决方案
根据设备的告警提示信息,需要在设备上配置ssh server acl
配置命令(系统视图下)
#
ssh server acl 2020  //配置用于SSH服务器的访问控制列表
commit
#
return
save

END