【Cisco】ACLを適用したVRFインターフェースに管理アクセスできない場合

ネットワーク

2025.03.20

環境
1. 機器
2. コンフィグ
事象
原因
対処
参考文献

環境

機器

プラットフォーム:Cisco Catalyst 9300X

バージョン:IOS-XE 17.12.4

コンフィグ

interface GigabitEthernet 0/0
 vrf forwarding Mgmt-vrf
 ip address 192.168.1.99 255.255.255.0
!
line vty 0 4
 access-class hogehoge in
 password hogehoge
 login local
 transport input ssh
!

interface GigabitEthernet 0/0

vrf forwarding Mgmt-vrf

ip address 192.168.1.99 255.255.255.0

line vty 0 4

access-class hogehoge in

password hogehoge

transport input ssh

事象

ACLを適用したVTYにVRFインターフェースからアクセスできない。(拒否される)

原因

ACLを適用したVTYはVRFインターフェースからの着信を拒否しちゃいます。

そういう仕様です。

ちなみに、ACLを設定していない場合はGlobalだろうがVRFだろうが管理アクセスできます。

対処

管理アクセスをどこから受けたいか、によって「access-class」コマンドが変わります。

Globalで受けたいのであれば冒頭のコンフィグで問題ありません。

しかし、GlobalとVRFの両方で受けたい場合は「access-class」コマンドの[ in | out ]の後に「vrf-also」を付加する必要があります。

access-class hogehoge in vrf-also

1	access-class hogehoge in vrf-also

また、VRFのみで受けたい場合は「access-class」コマンドの[ in | out ]の後に「vrfname」+「VRF名」を付加する必要があります。

access-class hogehoge in vrfname Mgmt-vrf

1	access-class hogehoge in vrfname Mgmt-vrf

参考文献

VRF を使用したデバイスへの Telnet または SSH アクセスの設定

このドキュメントでは、Virtual Routing and Forwarding（VRF）テーブルを介した、Telnet またはセキュアシェル（SSH）によるデバイスアクセスの設定について説明します。