podczas migracji z IOS do IOS XE napotkałem na pewien problem z ograniczeniem zdalnego dostępu (ssh) do routera. Poprzednio aby ograniczyć możliwość logowania przez wybrany interfejs wystarczyło użyć
Kod: Zaznacz cały
control-plane host
management-interface ..
Kod: Zaznacz cały
line vty ..
access-class .. in vrf-also
W ISO XE control-plane host już nie ma, a samo line vty + access-class jest niewystarczające. Szukając rozwiązania natknąłem się na pewnie workaround polegający na przeniesieniu managementu na dedykowany interfejs znajdujący się w vrf mgmt-intf, a następnie za pomocą polityki control-plane zablokowaniu ssh, telnet, itp. Trik podobno polega na tym, że interfejs ten znajduje się poza kontrolą QFP i przez to polityka zdefiniowana w control-plane go nie dotyczy.
Czy znacie jakąś inną/lepszą metodę pozwalającą ograniczyć dostęp do routera poprzez wybrany interfejs lub vrf ?