VRF でのリモート運用端末からのログインを許可する IP アド レスの設定

リモート運用端末から本装置へのログインを許可する IP アドレスをアクセスリストに設定することで，ロ グインを制限できます。

アクセスリストは，グローバルネットワークや VRF に対して個別に設定しますが，同一のアクセスリスト を，グローバルネットワークを含むすべての VRF に適用する設定もできます。また，これらを組み合わせ て設定できますが，複数のアクセスリストを使用する場合は，最後のアクセスリストだけ暗黙の廃棄が適用 されます。

なお，アクセス元の VRF に対してアクセスリストがどのように適用される（アクセスリストの適用範囲）

かは，アクセス元とアクセスリストの設定個所との関係によって変わります。例として，グローバルネット ワーク，VRF 10 および VRF 20 から本装置にアクセスする場合，アクセスリストが設定されている個所 によって，どのアクセスリストが適用されるかを次の表に示します（括弧内が，どのアクセスリストが適用 されるかを示しています）。

表 8‒3　アクセスリストの適用範囲

アクセスリスト設定個所 アクセス元 VRF

グローバルネットワーク VRF 10 VRF 20

• global （global） − −

• global

• VRF 10

（global） （VRF 10） −

• global

• VRF 10

• VRF ALL

（global）^※ 適用後

（VRF ALL）

（VRF 10）^※ 適用後

（VRF ALL）

（VRF ALL）

（凡例）

−：アクセスリストは適用されない。したがって，アクセス制限されない。

global：グローバルネットワーク VRF 10：VRF 10

VRF ALL：グローバルネットワークを含む全 VRF 注※

個別に設定したアクセスリストは，VRF ALL に設定したアクセスリストよりも優先して適用されます。また，アク セスリストを複数使用しているため，個別に設定したアクセスリストの暗黙の廃棄は無視されます。そのため，個別 に設定したアクセスリストに一致しない場合は，VRF ALL に設定したアクセスリストが適用されます。VRF ALL に設定したアクセスリストに一致しない場合は，暗黙の廃棄によって制限されます。

なお，設定後はリモート運用端末から本装置へのログインの可否を確認してください。

［設定のポイント］

特定のリモート運用端末からだけ本装置へのアクセスを許可する場合は，アクセスリストを使用しま す。コンフィグレーションコマンド ip access-list standard，ipv6 access-list，ip access-group，

ipv6 access-class で，あらかじめアクセスを許可する端末の IP アドレスを登録しておく必要がありま す。アクセスを許可する IPv4 アドレスとサブネットマスク，または IPv6 アドレスとプレフィックス は，合わせて最大 128 個の登録ができます。このコンフィグレーションを設定していない場合，すべて のリモート運用端末から本装置へのアクセスが可能となります。なお，アクセスを許可していない（コ ンフィグレーションで登録していない）端末からのアクセスがあった場合，すでにログインしているそ のほかの端末には，アクセスがあったことを示すシステムメッセージ（メッセージ種別：ACCESS，

メッセージ識別子：06000001）が表示されます。

設定例を次に示します。まず，グローバルネットワークを含む全 VRF でのリモート運用端末からのロ グインを制限します。次に，グローバルネットワークと指定 VRF だけ個別にログインを許可します。

これによって，特定のネットワークからだけログインを許可します。

［コマンドによる設定］

1.(config)# ip access-list standard REMOTE_VRFALL (config-std-nacl)# deny any

(config-std-nacl)# exit

グローバルネットワークを含む全 VRF で，ログインを制限するアクセスリスト REMOTE_VRFALL を 設定します。

2.(config)# ip access-list standard REMOTE_GLOBAL (config-std-nacl)# permit 192.168.0.0 0.0.0.255 (config-std-nacl)# exit

グローバルネットワークで，ネットワーク（192.168.0.0/24）からだけログインを許可するアクセスリ スト REMOTE_GLOBAL を設定します。

3.(config)# ip access-list standard REMOTE_VRF10 (config-std-nacl)# permit 10.10.10.0 0.0.0.255 (config-std-nacl)# exit

VRF 10 で，ネットワーク（10.10.10.0/24）からだけログインを許可するアクセスリスト REMOTE_VRF10 を設定します。

4.(config)# line vty 0 2

(config-line)# ip access-group REMOTE_VRFALL vrf all in (config-line)# ip access-group REMOTE_GLOBAL in

(config-line)# ip access-group REMOTE_VRF10 vrf 10 in (config-line)#

line モードに遷移し，グローバルネットワークを含む全 VRF にアクセスリスト REMOTE_VRFALL を，グローバルネットワークにアクセスリスト REMOTE_GLOBAL を，VRF10 にアクセスリスト REMOTE_VRF10 を適用します。

グローバルネットワークでは，ネットワーク（192.168.0.0/24）にあるリモート運用端末からだけログ インを許可します。

VRF10 では，ネットワーク（10.10.10.0/24）にあるリモート運用端末からだけログインを許可しま す。

また，その他の VRF ではログインを制限します。