远程 DC 中的单个 Cisco IOS 设备，我将OOB连接传送到机架中（Cat5e 的长度从另一个现场供应商机架进入我的机架，从我自己的、进出建筑物的路线各不相同），这只是一个到 Internet 的 L3 连接，向下传递 /29。

通过 Telnet 或 SSH 的 VTY 访问通常受限于网络设备的访问列表，IP 位于网络/AS 本地。此远程路由器位于 PoP 中，具有返回核心网络的长途以太网电路。OOB 连接将在紧急情况下由网外设备（例如断开的链接、失效的 IGP 等）使用，连接可能来自世界各地的任何 IP 或自治系统。

如果我们推测设备配置如下，OOB接口配置了来自OOB连接提供商的公共IP；

Interface Fa0/2
 Descriptioc OOB Connection
 ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
 access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255

我的问题真的是必不可少的两个；

我如何处理设备出现 L3 崩溃，并且由于 IGP 崩溃或类似情况而无法将流量路由出 PoP 的情况；路由表已经清空了它自己，现在只包含本地连接的路由。如果我正在度假并从某个酒店 Wi-Fi 连接到 OOB IP，如果 IGP 崩溃并且设备丢失了对等设备，流量将不会有返回到我的远程 IP 的路由。

我可以将 OOB 接口 Fa0/2 放入 VRF 并通过他们分配给我的 /29 内的 OOB 提供商网关地址添加静态 0/0 路由。我可以将 vty 语句更改为：

 access-class 10 in vrf-also

允许从 VRF 接口进行管理访问，但这会与我的 ACL 发生冲突。我需要将 0/0 添加到 ACL，从而消除拥有 ACL 的意义。我可以保持 ACL 原样，但在专门连接到 OOB 接口时允许任何 IP 连接吗？

也许我可以使用路由映射来路由从 OOB 接口进入的任何流量通过该网关返回？或者不使用 VRF，将 0.0.0.0/0 路由添加到度量为 254 的默认表，并在 OOB 接口上添加一个 ACL 出站，该 ACL 仅允许来自该接口 IP 的 TCP 22 的流量（因此 SSH管理流量）。这样只允许管理流量流出？我迷失了想法在这里。