192.168.2.1→スイッチへのtelnetを拒否したいときの、設定の注意点です。

↑リスト作成、R1のs0に適用。

R1からスイッチにtelnetしてみると・・・

成功しちゃう！！

なぜなら、自分のルータのインターフェースが送信元の場合、
アクセスリストの適用は無視されてしまうのです！！
ここ、アクセスリストの落とし穴です。ご注意を。

なのでこの場合の、適切な適用場所はR2のs0です。

R2(config-if)#ip access-group 102 in
ですね。

余談ですが・・・
１つ１つインターフェースに設定するのって、正直めんどくさいですよね。

そんなめんどくさがり屋さんにはもってこいの、
簡単でわかりやすい設定方法があります。

それは、ルータのvty回線自体にアクセス制御をかけてしまうというやり方です。
（このやり方は、PC→スイッチへのtelnetは拒否できないです。あくまでPC→ルータへのtelnet禁止のやり方ですよ）

リストの作成は今までと一緒で、適用だけちょっと違います。

↑標準アクセスリスト。送信元だけわかってればOKですから。宛先は自分だし、ポート番号は23て決まってるし。
↓

↑access-classなんでご注意を。

これで

telnet禁止できた。