Tuesday, June 3, 2014

A issue with access-clsss ( vrf-also ) IOS-XE multi-vrf

With multiple  vrf, the  access-class command act strange under IOS-XE, you have to enable the  access-class with the keyword of "vrf-also" in order for all VRFs to be protected by the acl.

Without the keyword, the  action is to block all access-line access


Here's my example;

note: we have a simple access-class protecting "inbound" requests

line vty 0 4
 session-timeout 10
 access-class myssh in vrf-also
 exec-timeout 30 0
 logging synchronous
 length 0
 transport input ssh
 transport output ssh



Now the  access-list that was defined was named "myssh" and allows for a limited range of sources to access the  router via ssh.

 show run | sec access-list ext     

 ip access-list extended myssh
  permit tcp 10.10.10.0 0.0.0.3 any eq 22
  permit tcp 10.10.20.0 0.0.0.3 any eq 22


So the  key wording of "vrf-also",  allows for the access class to work within all VRFs

Just something I thought I would share.


Ken Felix
Network & Security Engineer
kfelix  ----a---t---socpuppets ---d---o---t---com

     ^      ^
=(   X   X )=
          o
       /     \

7 comments:

  1. This comment has been removed by a blog administrator.

    ReplyDelete
  2. Căn hộ chung cư cao cấp giá rẽ tuyệt vời nhất hiện nay đang chờ bạn khám phá nè, tiện nghi, hiện đại, click là thích ngay. Xem thêm tại đây nhé Căn hộ chung cư Him Lam Chợ Lớn quận 6 hoặc Can ho chung cu Him Lam Cho Lon quan 6

    ReplyDelete
  3. Nhanh tay click vào đây để tìm cho mình một căn hộ chung cư tuyệt đẹp, hiện đại và tiện nghi bậc nhất Sài Gòn đang được rao bán nè mọi người nhanh tay vào xem k Không xem phí lắm đó Căn hộ chung cư giá rẻ An Gia Star quận Bình Tân hoặc Can ho chung cu gia re An Gia Star quan Binh Tan

    ReplyDelete
  4. Nhà đẹp, nhà đẹp đây, mua đi, mua đi. Vào xem ngay để có mức giá tốt nhất nhé, khu căn hộ chung cư tuyệt vời miễn chê luôn. Chi tiết xem Căn hộ An Gia Star quận Bình Tân hoặc Can ho An Gia Star quan Binh Tan

    ReplyDelete