Намерение здесь состояло в том, чтобы создать список доступа, который разрешил бы любому устройству с IP-адресом из двух разных подсетей / 24 (давайте назовем их 192.168.1.0 и 192.168.2.0) к SSH в ISR, запрещая при этом любые другие IP-адреса. поэтому я создал следующий стандартный список доступа.
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
Затем при подключении к подсети 192.168.1.0 я попытался подключиться к ISR по SSH через замазку и получил сообщение об ошибке, в котором было отказано в соединении.
Когда следующие строки будут удалены, я могу без проблем подключиться к ISR по SSH. (я уже выполнил настройку SSH в ISR, чтобы использовать большой ключ RSA и использовать SSH 2.0)
line vty 0 4
access-class 1 in
line vty 5 15
access-class 1 in
Я не могу понять, почему этот простой список доступа блокирует трафик, а не должен? Я немного новичок в Cisco IOS, так что, вероятно, я упустил какую-то мелочь. Ниже приведена текущая конфигурация строк vty и списков ACL:
!
access-list 1 permit 192.168.1.0 0.0.0.255
access-list 1 permit 192.168.2.0 0.0.0.255
!
!
!
!
!
control-plane
!
!
line con 0
stopbits 1
line aux 0
stopbits 1
line vty 0 4
access-class 1 in
login authentication local
transport input ssh
line vty 5 15
access-class 1 in
login authentication local
transport input ssh
!
!
end
Если вы хотите подключиться к маршрутизатору по ssh через интерфейс MGMT, вы должны добавить VRF-также после команды в новой версии, как показано ниже:
line vty 0 4
access-class 1 in vrf-also
login authentication local
transport input ssh
line vty 5 15
access-class 1 in vrf-also
login authentication local
transport input ssh