Cisco Catalyst交换机和ASR路由器上加vty下的列表时最后的vrf-also命令作用
企业要求现网所有思科交换机vty只放行SSH,而且只放行2个网段做为source IP
10.248.1.0/24
10.248.2.0/24
配置如下:
ip access-list extended vty-limit
10 permit tcp 10.16.132.0 0.0.3.255 any eq 22
20 permit tcp 10.16.235.0 0.0.0.255 any eq 22
line vty 0 15
transport input ssh
access-class vty-limit in vrf-also
最后的vrf-also是啥作用
作用
默认行为:如果不使用 vrf-also,access-class 仅限制来自全局 IP 实例(即默认 VRF)的连接
VRF 支持:添加 vrf-also 后,设备会同时检查全局 IP 实例和指定的 VRF,允许来自这些 VRF 的连接
因为交换机有独立的带外管理口,而这个带外管理接口是属于1个独立VRF
interface GigabitEthernet0
vrf forwarding Mgmt-intf
ip address 172.16.63.199 255.255.255.128
negotiation auto
end