ssh server acl与nat优先级测试

组网如下，左边访问右边，在中间设备上做nat

有些场景下，需要对访问本设备的shh流量进行管理，比如我们不想某个源地址访问我们设备的ssh服务，那么可以使用ssh server acl，但是有个疑问是过设备的ssh流量和经过本设备nat的流量是否会被ssh server acl控制导致被过滤。

可以用模拟器测试，如组网图所示，左边的设备访问最右边设备的ssh服务。测试内容包括动态nat和静态nat，测试结果见解决方法。

关于ssh server acl本地测试结论如下：

1.      配置如下acl则只阻止源地址是1.1.1.1 的ssh访问

Acl ad 3007

rule 0 deny ip source 1.1.1.1 0 (2 times matched)

rule 5 permit ip

被阻断的时候报错示例如下：

%Aug 11 16:18:34:617 2021 RT1 SSHS/5/SSHS_ACL_DENY: The SSH Connection 1.1.1.1 request was denied according to ACL rules.

2.      如果配置了nat 的话，那么nat优先级要高于ssh server acl，即：ssh server acl只对真实访问本地的ssh流量进行阻断，通过nat跳转其他设备不会阻断（即使global地址是设备的接口地址也是先nat）