CE6850 限制ssh登录不生效

发布时间:  2017-03-14 浏览次数:  243 下载次数:  0
问题描述

CE6850 配置acl 2000,限制只有acl 里的地址可以通过ssh登录设备,但是配置完成后测试,使用acl里允许的地址也无法登陆

 

stelnet server enable
ssh server acl 2000

<NN-CE6850-01>disply acl 2000
Basic ACL 2000, 4 rules
ACL's step is 5
 rule 5 permit source xx.xx.225.61 0 (0 times matched)

# ssh farmer@10.126.254.12
ssh: connect to host xx.xx.254.12 port 22: Connection timed out


处理过程

1、从配置信息中分析,acl 配置正常,为什么允许的地址也无法登陆呢,应该是策略没生效

怀疑中间有nat设备,源地址经过nat 转换成其他地址,限制访问acl 默认有条隐含拒绝,所以无法登陆

经确认,中间二层网络,没有nat 设备

2、再次查看配置信息

interface Vlanif913
 ip binding vpn-instance VRF2
 ip address xx.xx.254.12 255.255.255.248

从配置中看出,登陆的接口是绑定了vpn 实例,所以导致策略没有匹配上

 

根因

接口绑定了vpn实例,导致acl 没有匹配

解决方案


acl rule 添加vpn 实例后解决

acl 2000
rule 5 permit source xx.xx.225.61 0 vpn-instance VRF2

END