keima's caprice diary

気付いたことをメモのように綴ります。なるべく義務っぽくならないように気まぐれに記録します。

vrf line-vty ACL

Ciscoルータにおいて仮想回線(line-vty)にACLを設定する場合、注意すること。

 

ASR等ではManagementポートには管理用VRF(VRF:Mgmt-intf)がデフォルトで設定されていたりする。

この管理ポートにアサインしたIPアドレスに対してTelnetを接続する際にACL制御をする場合はアクセスクラスにオプションを付与する必要がある。

 

例:

 line vty 0 4

  access-class [acl-name] in vrf-also

 

vrf-alsoを忘れると、show access-lists で表示されるマッチカウンタに許可エントリでマッチしたように表示されるがtelnetはrefuseされるという状況に陥る。