コンフィグレーションガイド Vol.1


8.1.11 VRFでのリモート運用端末からのログインを許可するIPアドレスの設定

リモート運用端末から本装置へのログインを許可するIPアドレスをアクセスリストに設定することで,ログインを制限できます。

アクセスリストは,グローバルネットワークやVRFに対して個別に設定しますが,同一のアクセスリストを,グローバルネットワークを含むすべてのVRFに適用する設定もできます。また,これらを組み合わせて設定できますが,複数のアクセスリストを使用する場合は,最後のアクセスリストだけ暗黙の廃棄が適用されます。

なお,アクセス元のVRFに対してアクセスリストがどのように適用される(アクセスリストの適用範囲)かは,アクセス元とアクセスリストの設定個所との関係によって変わります。例として,グローバルネットワーク,VRF 10およびVRF 20から本装置にアクセスする場合,アクセスリストが設定されている個所によって,どのアクセスリストが適用されるかを次の表に示します(括弧内が,どのアクセスリストが適用されるかを示しています)。

表8‒3 アクセスリストの適用範囲

アクセスリスト設定個所

アクセス元VRF

グローバルネットワーク

VRF 10

VRF 20

  • global

(global)

  • global

  • VRF 10

(global)

(VRF 10)

  • global

  • VRF 10

  • VRF ALL

(global)

適用後

(VRF ALL)

(VRF 10)

適用後

(VRF ALL)

(VRF ALL)

(凡例)

−:アクセスリストは適用されない。したがって,アクセス制限されない。

global:グローバルネットワーク

VRF 10:VRF 10

VRF ALL:グローバルネットワークを含む全VRF

注※

個別に設定したアクセスリストは,VRF ALLに設定したアクセスリストよりも優先して適用されます。また,アクセスリストを複数使用しているため,個別に設定したアクセスリストの暗黙の廃棄は無視されます。そのため,個別に設定したアクセスリストに一致しない場合は,VRF ALLに設定したアクセスリストが適用されます。VRF ALLに設定したアクセスリストに一致しない場合は,暗黙の廃棄によって制限されます。

なお,設定後はリモート運用端末から本装置へのログインの可否を確認してください。

[設定のポイント]

特定のリモート運用端末からだけ本装置へのアクセスを許可する場合は,アクセスリストを使用します。コンフィグレーションコマンドip access-list standard,ipv6 access-list,ip access-group,ipv6 access-classで,あらかじめアクセスを許可する端末のIPアドレスを登録しておく必要があります。アクセスを許可するIPv4アドレスとサブネットマスク,またはIPv6アドレスとプレフィックスは,合わせて最大128個の登録ができます。このコンフィグレーションを設定していない場合,すべてのリモート運用端末から本装置へのアクセスが可能となります。なお,アクセスを許可していない(コンフィグレーションで登録していない)端末からのアクセスがあった場合,すでにログインしているそのほかの端末には,アクセスがあったことを示すシステムメッセージ(メッセージ種別:ACCESS,メッセージ識別子:06000001)が表示されます。

設定例を次に示します。まず,グローバルネットワークを含む全VRFでのリモート運用端末からのログインを制限します。次に,グローバルネットワークと指定VRFだけ個別にログインを許可します。これによって,特定のネットワークからだけログインを許可します。

[コマンドによる設定]

  1. (config)# ip access-list standard REMOTE_VRFALL

    (config-std-nacl)# deny any

    (config-std-nacl)# exit

    グローバルネットワークを含む全VRFで,ログインを制限するアクセスリストREMOTE_VRFALLを設定します。

  2. (config)# ip access-list standard REMOTE_GLOBAL

    (config-std-nacl)# permit 192.168.0.0 0.0.0.255

    (config-std-nacl)# exit

    グローバルネットワークで,ネットワーク(192.168.0.0/24)からだけログインを許可するアクセスリストREMOTE_GLOBALを設定します。

  3. (config)# ip access-list standard REMOTE_VRF10

    (config-std-nacl)# permit 10.10.10.0 0.0.0.255

    (config-std-nacl)# exit

    VRF 10で,ネットワーク(10.10.10.0/24)からだけログインを許可するアクセスリストREMOTE_VRF10を設定します。

  4. (config)# line vty 0 2

    (config-line)# ip access-group REMOTE_VRFALL vrf all in

    (config-line)# ip access-group REMOTE_GLOBAL in

    (config-line)# ip access-group REMOTE_VRF10 vrf 10 in

    (config-line)#

    lineモードに遷移し,グローバルネットワークを含む全VRFにアクセスリストREMOTE_VRFALLを,グローバルネットワークにアクセスリストREMOTE_GLOBALを,VRF10にアクセスリストREMOTE_VRF10を適用します。

    グローバルネットワークでは,ネットワーク(192.168.0.0/24)にあるリモート運用端末からだけログインを許可します。

    VRF10では,ネットワーク(10.10.10.0/24)にあるリモート運用端末からだけログインを許可します。

    また,その他のVRFではログインを制限します。