ACL建立调用后不生效,SSH无法登录

发布时间:  2017-03-09 浏览次数:  135 下载次数:  1
问题描述

华为CE12804通过建立ACL访问控制列表,从而实现控制指定网段才能允许SSH登录的效果,但是将ACL调用之后,并没有实现,SSH登录失败。

告警信息
处理过程

 

1、 ACL 2000配置有误

2、 user-interface vty 0 4 是否允许SSH

3、 CE12804VPN实例是否会导致普通访问控制列表无法实现相应的效果

按以上顺序排查:

1、首先确认是否ACL 2000配置有误。

如果是配置问题,则ACL建立调用之后无法正确匹配导致SSH无法正常登录。 

使用命令display acl 2000查看acl访问控制列表配置是否有误。

 [~B6_B7_CE12804]display acl 2000              

Basic ACL 2000, 5 rules

ACL's step is 5

 rule 5 permit source 10.176.7.0 0.0.0.255 (0 times matched)

 rule 10 permit source 10.176.8.0 0.0.1.255 (0 times matched)

 rule 15 permit source 10.176.12.0 0.0.1.255 (0 times matched)

 rule 20 permit source 10.176.14.0 0.0.1.255 (0 times matched)

 rule 25 permit source 10.176.5.0 0.0.0.255 (0 times matched)

结论:通过查看ACL配置,并没有存在配置问题,往下继续排查。

 

进入aaa视图下,使用命令display this查看相关配置

 [~B6_B7_CE12804-aaa]display this

#

aaa

 local-user yangxl password irreversible-cipher $1a$+v]~U=qhR7$P5b5DI2

 local-user yangxl service-type terminal ssh

 local-user yangxl level 3

return 

结论:通过排查aaa相关配置,不存在配置问题,也允许使用SSH登录,继续往下排查 。

 

2、确认user-interface vty 0 4 是否允许SSH登录

进入user-interface vty 0 4 视图,使用命令display this,查看配置

user-interface vty 0 4

 acl 3000 inbound

 authentication-mode aaa

 protocol inbound ssh

结论:user-interface vty 0 4 下面允许SSH登录,继续往下排查。

 

3、使用高级ACL测试是否由于CE12804VPN实例导致无法使用普通ACL来实现

建立ACL 3000如下配置:

[~B6_B7_CE12804]display acl 3000

Advanced ACL 3000, 5 rules

Permit_ssh

ACL's step is 5

 rule 5 permit ip vpn-instance VRF_OM source 10.176.7.0 0.0.0.255 (0 times matched)

 rule 10 permit ip vpn-instance VRF_OM source 10.176.8.0 0.0.1.255 (218 times matched)

 rule 15 permit ip vpn-instance VRF_OM source 10.176.12.0 0.0.1.255 (0 times matched)

 rule 20 permit ip vpn-instance VRF_OM source 10.176.14.0 0.0.1.255 (0 times matched)

 rule 25 permit ip vpn-instance VRF_OM_Security source 10.176.5.0 0.0.0.255 (42 times matched)

结论:通过测试发现,使用高级ACL能够正确匹配,使SSH能使用以上网段的地址正常登录访问设备。

根因

此故障系CE12804上配置了VPN实例,使用普通ACL无法正确匹配,需要使用高级ACL来进行配置及调用,使SSH能够通过这些网段登录。

解决方案

CE12804上配置了VPN实例,使用普通ACL无法正确匹配,需要使用高级ACL来进行配置及调用。

建议与总结

1.针对此问题需要注意ACL,AAA,user-interface vty 0 4的配置准确无误。

2.注意使用ACL访问控制列表的设备是否配置了VPN实例,如果配置了VPN,请使用高级ACL进行控制

END