line access-class に ACL を設定することで、ルータから実施される telnet や ssh の接続先を制限する事が可能です。

設定例:

line default
 access-class egress TESTv6

ipv6 access-list TESTv6
 10 deny tcp any host 2001:db8::2

telnet の実行:

RP/0/RSP0/CPU0:ASR9K#telnet 2001:db8::2
%Destination host does not meet access class settings
RP/0/RSP0/CPU0:ASR9K#

telnet や ssh コマンドを使用し、この ACL が一度使用されると、telnet や ssh コマンドを使用したターミナルからは、以下のメッセージが出て ACL の削除が出来ない場合があることが報告されています。

RP/0/RSP0/CPU0:ASR9K#telnet 2001:db8::2
%Destination host does not meet access class settings
RP/0/RSP0/CPU0:ASR9K#
RP/0/RSP0/CPU0:ASR9K#configure
RP/0/RSP0/CPU0:ASR9K(config)#no ipv6 access-list TESTv6
RP/0/RSP0/CPU0:ASR9K(config)#commit

% Failed to commit one or more configuration items during a pseudo-atomic operation. All changes made have been reverted. Please issue 'show configuration failed' from this session to view the errors
RP/0/RSP0/CPU0:ASR9K(config)#show configuration failed

!! SEMANTIC ERRORS: This configuration was rejected by
!! the system due to semantic errors. The individual
!! errors with each failed configuration command can be
!! found below.

ipv6 access-list TESTv6
 no 10 deny tcp any host 2001:db8::2
!!% Timer expired: ipv6_acl_pens_query_cons failed

この問題は CSCuj84974 として、報告されています。

CSCuj84974

ACL used with line default access-class egress cannot be removed 

解決策

問題の解決には CSCuj84974 が修正されたバージョンをご使用ください。

また workaround として、一度当該セッションを exit にて切断し再ログインすることで、ACL の削除を行うことが可能です。