romantix74 Posted June 21, 2013 Posted June 21, 2013 Не пойму простую вещь , как применить аксесс-лист, чтобы ограничить телнет (с ssh тоже самое) на IOS XE , на обычном IOS все работает. line vty 0 4 access-class Vty_list in exec-timeout 1440 0 logging synchronous transport input telnet transport output telnet sh access-l Vty_list Standard IP access list Vty_list 10 permit 192.168.0.0, wildcard bits 0.0.0.255 (1 match) 20 deny any Пакеты проходят судя по аксесс-листу, но не заходит telnet 192.168.0.64 Trying 192.168.0.64... telnet: connect to address 192.168.0.64: Connection refused Захожу напрямую по L2 линку , с хоста с ip 192.168.0.200. sh vers Cisco IOS Software, IOS-XE Software (X86_64_LINUX_IOSD-UNIVERSALK9_NPE-M), Version 15.2(4)S, RELEASE SOFTWARE (fc4) Technical Support: http://www.cisco.com/techsupport Copyright © 1986-2012 by Cisco Systems, Inc. Compiled Mon 23-Jul-12 20:03 by mcpre IOS XE Version: 03.07.00.S ASR-1002-X uptime is 8 hours, 21 minutes Uptime for this control processor is 8 hours, 22 minutes System returned to ROM by reload at 02:53:41 UTC Fri Apr 26 2013 System restarted at 14:32:04 MSK Fri Jun 21 2013 System image file is "bootflash:/asr1002x-universalk9_npe.03.07.00.S.152-4.S.SPA.bin" По документации на cisco.com , все вроде как и в обычном IOS. Думаю может есть какие то особенности , или может это один из багов ,на котороые многие жалуются в IOS XE. Вставить ник Quote
Картуччо Posted June 22, 2013 Posted June 22, 2013 Нет никаких особенностей. Вот так работает: line vty 0 4 access-class vty in ip access-list extended vty permit ip 192.168.0.0 0.0.255.255 any собственно почти то же самое, что и у вас. А без листа на vty заходит ? Вставить ник Quote
romantix74 Posted June 22, 2013 Author Posted June 22, 2013 Нет никаких особенностей. Вот так работает: line vty 0 4 access-class vty in ip access-list extended vty permit ip 192.168.0.0 0.0.255.255 any собственно почти то же самое, что и у вас. А без листа на vty заходит ? Да , без листа все норм. Какая версия софта у вас? Может ли как то влиять , то что я захожу с менеджмент порта, который соответственно в Mgmg-intf vrf ? Вставить ник Quote
romantix74 Posted June 24, 2013 Author Posted June 24, 2013 Нет никаких особенностей. Вот так работает: line vty 0 4 access-class vty in ip access-list extended vty permit ip 192.168.0.0 0.0.255.255 any собственно почти то же самое, что и у вас. А без листа на vty заходит ? Да , без листа все норм. Какая версия софта у вас? Может ли как то влиять , то что я захожу с менеджмент порта, который соответственно в Mgmg-intf vrf ? Все решилось, забыл про vrf-also . надо было : line vty 0 4 access-class vty in vrf-also Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.