USG9520产品V5R1版本VTY视图配置ACL限制用户登录不成功

发布时间:  2017-03-22 浏览次数:  185 下载次数:  0
问题描述

1、问题描述:
 某客户局点部署1台USG9520防火墙,通过主控板的带外管理接入用户网管网络,并在防火墙上VTY视图下部署ACL限制部分IP地址telnet设备,但是在ACL的规则列表中的允许的IP地址也不能telnet到防火墙,接口已正确配置了service-manage
软件版本: V500R001C30SPC100

2、部分关键配置如下:

#
acl number 2077    //允许部分IP地址telnet防火墙
 rule 5 permit source 218.15.240.0 0.0.0.31
 rule 10 permit source 14.119.127.0 0.0.0.255  
 rule 15 permit source 192.168.1.0 0.0.0.255
 rule 100 deny
#
interface GigabitEthernet0/0/0  //带外网管接口配置
 description TO_ZH-HZ-8905_GE2/1_MGMT
 ip binding vpn-instance default
 ip address 14.x.x.38 255.255.255.252
 service-manage https permit
 service-manage ping permit
 service-manage telnet permit
#
user-interface vty 0 4   //vty视图调用acl限制登陆
 acl 2077 inbound
 authentication-mode aaa
 protocol inbound all
#

解决方案

1、解决方案
  由于USG9520主控板的带外管理接口默认绑定了default vpn实例,所以普通的ACL规则不生效,那么在创建配置ACL的时候需要加上vpn-instance关键字正确ACL配置如下:
#

acl number 2077 vpn-instance default
 rule 5 permit source 218.15.240.0 0.0.0.31
 rule 10 permit source 14.119.127.0 0.0.0.255  
 rule 15 permit source 192.168.1.0 0.0.0.255
 rule 100 deny

#
user-interface vty 0 4   //vty视图调用acl限制登陆
 acl 2077 inbound
 authentication-mode aaa
 protocol inbound all
#

2完成修改ACL配置后,就能正常telnet防火墙,现象截图如下



END