Cisco ISR 4431 ACL Blocking, когда он должен разрешать трафик ssh
Целью здесь было создать список доступа, который разрешил бы любое устройство с IP-адресом из двух разных подсетей / 24 (давайте назовем их 192.168.1.0 и 192.168.2.0) на SSH в ISR, запрещая при этом любые другие IP-адреса. поэтому я создал следующий стандартный список доступа.
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
Затем, подключившись к подсети 192.168.1.0, я попытался подключиться к ISR по SSH через putty и получил сообщение об ошибке, в котором говорилось, что в соединении было отказано.
Когда следующие строки удалены, я могу без проблем подключиться к ISR по SSH. (я уже выполнил настройку SSH на ISR, чтобы использовать большой ключ RSA и использовать SSH 2.0)
line vty 0 4
access-class 1 in
line vty 5 15
access-class 1 in
Я не могу, хоть убей, понять, почему этот простой список доступа блокирует трафик, а не должен? Я немного новичок в Cisco IOS, поэтому, вероятно, я упустил какую-то крошечную деталь. Ниже приведена текущая конфигурация линий vty и списков ACL:
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 1 in
login authentication local
transport input ssh
line vty 5 15
access-class 1 in
login authentication local
transport input ssh
!
!
end
Если вы хотите использовать ssh для маршрутизатора через интерфейс MGMT, вы должны добавить vrf-also после команды в новой версии, как показано ниже:
line vty 0 4
access-class 1 in vrf-also
login authentication local
transport input ssh
line vty 5 15
access-class 1 in vrf-also
login authentication local
transport input ssh