这里的目的是创建一个访问列表,允许任何具有来自两个不同 /24 子网(我们称之为 192.168.1.0 和 192.168.2.0)的 IP 的设备通过 SSH 进入 ISR,同时拒绝任何其他 IP。所以我创建了以下标准访问列表。
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
然后,在连接到 192.168.1.0 子网时,我尝试通过 putty 通过 SSH 进入 ISR,并收到一条错误消息,提示连接被拒绝。
删除以下几行后,我就能通过 SSH 顺利进入 ISR 了。(我已经在 ISR 上完成了 SSH 配置,使用大型 RSA 密钥并使用 SSH 2.0)
line vty 0 4
access-class 1 in
line vty 5 15
access-class 1 in
我无论如何也想不通为什么这个简单的访问列表会阻止不应该阻止的流量?我对 Cisco IOS 还不太熟悉,所以可能我错过了一些小细节。以下是 vty 线路和 ACL 的当前配置:
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 1 in
login authentication local
transport input ssh
line vty 5 15
access-class 1 in
login authentication local
transport input ssh
!
!
end
答案1
如果您想通过 MGMT 接口 ssh 到路由器,您必须添加vrf-也新版本中命令如下:
line vty 0 4
access-class 1 in vrf-also
login authentication local
transport input ssh
line vty 5 15
access-class 1 in vrf-also
login authentication local
transport input ssh