组网如下,左边访问右边,在中间设备上做nat
有些场景下,需要对访问本设备的shh流量进行管理,比如我们不想某个源地址访问我们设备的ssh服务,那么可以使用ssh server acl,但是有个疑问是过设备的ssh流量和经过本设备nat的流量是否会被ssh server acl控制导致被过滤。
可以用模拟器测试,如组网图所示,左边的设备访问最右边设备的ssh服务。测试内容包括动态nat和静态nat,测试结果见解决方法。
关于ssh server acl本地测试结论如下:
1. 配置如下acl则只阻止源地址是1.1.1.1 的ssh访问
Acl ad 3007
rule 0 deny ip source 1.1.1.1 0 (2 times matched)
rule 5 permit ip
被阻断的时候报错示例如下:
%Aug 11 16:18:34:617 2021 RT1 SSHS/5/SSHS_ACL_DENY: The SSH Connection 1.1.1.1 request was denied according to ACL rules.
2. 如果配置了nat 的话,那么nat优先级要高于ssh server acl,即:ssh server acl只对真实访问本地的ssh流量进行阻断,通过nat跳转其他设备不会阻断(即使global地址是设备的接口地址也是先nat)
该案例暂时没有网友评论
✖
案例意见反馈
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作