开发者社区> CTO技术共享> 正文
阿里云
为了无法计算的价值
打开APP
阿里云APP内打开

使用SSH登录防火墙,显示登陆超时,登陆界面死活没反应!怎么破?

简介: 使用SSH登录防火墙,显示登陆超时,登陆界面死活没反应!怎么破?
+关注继续查看

一、问题描述
USG6600 版本信息:V500R005C00SPC200

PC使用SSH登陆防火墙,显示登陆超时,登陆界面无反应。

二、处理过程
2.1 查看防火墙的配置,没有发现有什么异常,Pc地址为:10.x.z.72
//已经开启stelent服务

[HUAWEI]display tcp status

TCPCB Tid/Soid Local Add:port Foreign Add:port VPNID State

1f82da78 104/1 0.0.0.0:21 0.0.0.0:0 -1 Listening

d595f70c 183/4 0.0.0.0:22 0.0.0.0:0 -1 Listening

eb6088b4 85 /1 0.0.0.0:8443 0.0.0.0:0 -1 Listening
//protocol inbound已经开启SSH

user-interface con 0

authentication-mode aaa

user-interface aux 0

user-interface vty 0 4

acl 2500 inbound

authentication-mode aaa

protocol inbound ssh

user-interface vty 16 20
//ACL 2500已经添加登陆PC的IP地址

[HUAWEI]acl 2500

rule 5 permit source 10.x.y.0 0.0.0.255 (344 times matched)

rule 10 permit source 10.x.x.0 0.0.15.255 (2404 times matched)

rule 15 permit source 10.x.z.72 0 (0 times matched)

rule 1000 deny (0 times matched)
//ssh server acl 2500

//aaa视图下的用户也已经配置了service-type ssh

//接口配置信息如下:

interface Eth-Trunk1.2

vlan-type dot1q 3111

ip address 10.x.x.156 255.255.255.248

vrrp vrid 2 virtual-ip 10.x.x.158 active

service-manage ping permit

service-manage ssh permit
2.2 查看防火墙会话信息,发现登陆PC给防火墙发了SYN报文,但是防火墙没有回应。
ssh VPN: public --> public ID: b681f97df070d0c0f8d059a85288082

Zone: net_manage --> local Slot: 8 CPU: 2 TTL: 00:00:05 Left: 00:00:01

Recv Interface: Eth-Trunk1.2

Interface: InLoopBack0 NextHop: 127.0.0.1

<--packets: 0 bytes: 0 --> packets: 1 bytes: 40

10.x.z.72:33449 --> 10.x.x.158:22 PolicyName: ---

TCP State: connecting
Debugging没有打印任何信息。

debugging ssh server all all

t m

Info: Current terminal monitor is on.

t d

Info: Current terminal debugging is on.
2.3 无意中发现ACL 2500绑定了vpn-instance,将vpn-instance去掉后就可以登陆正常。

display acl 2500

Basic ACL 2500, 4 rules,binding with vpn-instance bmc ( Reference counter 0 )

Security acl for user login vulnerability

Acl's step is 5

rule 5 permit source 10.x.y.0 0.0.0.255 (344 times matched)

rule 10 permit source 10.x.x.0 0.0.15.255 (2404 times matched)

rule 15 permit source 10.x.z.72 0 (0 times matched)

rule 1000 deny (0 times matched)

三、根因
由于防火墙Eth-Trunk1.2接口没有绑定vpn-instance,所以这个接口是在根墙下的,如果ACL 2500绑定了vpn-instance,系统在user-interface vty 0 4下的ACL 2500里是查不到的,所以系统继续在其它user-interface vty里进行查找,但是由于现网没有配置其它的user-interface vty,所以导致登陆不上。

四、解决方案
方案1:将ACL 2500去掉绑定vpn-instance。

方案2:增加一个未绑定vpn-instance的ACL,例如ACL 2600,将登陆PC IP地址添加进去。然后在user-interface vty 5 8里进行引用,例如:

acl 2600

rule 5 permit source 10.x.z.72 0

rule 1000 deny

user-interface vty 0 4

acl 2500 inbound

authentication-mode aaa

protocol inbound ssh

user-interface vty 5 8

acl 2600 inbound

authentication-mode aaa

protocol inbound ssh

user-interface vty 16 20

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
[转贴]ASP.NET 2.0无刷新页面新境界
“无刷新页面”,只是一种不确切的效果描述(其实还有其他各种方法来实现这个效果),更确切的说法是:在页面上用javascript调用服务器端的一个方法,然后处理返回的数据。实现它最标准的方法当然是XMLHTTP。
913 0
一个比较使用的asp 函数集合类
最近迷恋上作网站了,使用asp开发,发现asp有好多的漏洞,而且在一个网站中有好多的代码是重复使用的,所以就查询了一些资料发现在asp中可以使用类的思想,所以就写了这个类,写的不好,但是比较实用。
604 0
艾伟_转载:VS 2010 和 .NET 4.0 系列之《ASP.NET 4 中的SEO改进 》篇
本系列文章导航 VS 2010 和 .NET 4.0 系列之《ASP.NET 4 中的SEO改进 》篇 VS 2010 和 .NET 4.0 系列之《干净的Web.Config文件 》篇 VS 2010 和 .
1158 0
+关注
CTO技术共享
专注大数据、架构框架、集群、中间件、分布式、数据库、监控、开源、基础架构等技术分享,助力数字化转型。
240
文章
46
问答
文章排行榜
最热
最新
相关电子书
更多
低代码开发师(初级)实战教程
立即下载
阿里巴巴DevOps 最佳实践手册
立即下载
冬季实战营第三期:MySQL数据库进阶实战
立即下载