Cách định cấu hình truy cập OOB qua IP

Thiết bị Cisco IOS duy nhất ở một DC từ xa, tôi có kết nối OOB được phân phối vào giá đỡ (chiều dài của Cat5e vào giá của tôi từ một giá cung cấp tại chỗ khác, có các tuyến khác nhau từ chính tôi, trong và ngoài tòa nhà) đơn giản là một Kết nối L3 với Internet, a / 29 được gửi xuống.

Truy cập VTY qua Telnet hoặc SSH thường bị giới hạn bởi danh sách truy cập vào các thiết bị trên mạng, với IP cục bộ trên mạng / AS. Bộ định tuyến từ xa này nằm trong PoP với các mạch Ethernet đường dài quay trở lại mạng lõi. Kết nối OOB sẽ được sử dụng trong các trường hợp khẩn cấp bởi các thiết bị ngoại mạng (như một liên kết bị hỏng, IGP đã chết, v.v.), với các kết nối đến từ bất kỳ IP hoặc Hệ thống tự trị nào trên thế giới.

Nếu chúng tôi đưa ra giả thuyết rằng thiết bị được cấu hình như bên dưới, với giao diện OOB được định cấu hình với IP công cộng từ nhà cung cấp kết nối OOB;

Interface Fa0/2
 Descriptioc OOB Connection
 ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
 access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255

Câu hỏi của tôi là rất cần thiết hai thực sự;

Làm cách nào để tôi xử lý một tình huống trong đó các thiết bị có L3 tan chảy và nó không thể định tuyến lưu lượng truy cập ra khỏi PoP vì IGP đã bị sập hoặc tương tự; bảng định tuyến đã tự làm trống chỉ chứa các tuyến được kết nối cục bộ. Nếu tôi đang trong kỳ nghỉ và kết nối với IP OOB từ một số Wi-fi của khách sạn, lưu lượng truy cập sẽ không có tuyến đường trở lại IP từ xa của tôi nếu IGP bị sập và các thiết bị bị mất.

Tôi có thể đặt giao diện OOB Fa0 / 2 vào VRF và thêm tuyến 0/0 tĩnh thông qua địa chỉ cổng nhà cung cấp OOB trong / 29 mà họ đã gán cho tôi. Tôi có thể thay đổi câu lệnh vty thành:

 access-class 10 in vrf-also

Để cho phép quản lý truy cập từ giao diện VRF, nhưng điều này sẽ đụng độ với ACL của tôi. Tôi sẽ cần thêm 0/0 vào ACL, loại bỏ điểm có ACL. Tôi có thể giữ nguyên ACL không, nhưng cho phép bất kỳ IP nào kết nối khi kết nối với giao diện OOB một cách cụ thể?

Có lẽ tôi có thể sử dụng bản đồ tuyến đường một số cách định tuyến bất kỳ lưu lượng truy cập nào từ giao diện OOB trở ra qua cổng đó? Hoặc không sử dụng VRF và thêm tuyến 0,0.0.0 / 0 vào bảng mặc định với số liệu 254 và thêm ACL ra ngoài trên giao diện OOB chỉ cho phép lưu lượng truy cập đến từ TCP 22 từ IP của giao diện đó (vì vậy SSH quản lý giao thông). Cách đó chỉ quản lý lưu lượng sẽ được phép ra? Tôi bị mất ý tưởng ở đây.

Tùy thuộc vào phần cứng mà bạn đang nói về bạn nên cân nhắc khác nhau.

Chẳng hạn, Cisco cung cấp một bộ cổng / RAM và đèn flash chuyên dụng để truy cập OOB trên SUP2T, do đó bạn có thể truy cập vào thiết bị của mình ngay cả khi RP bị treo. OTOH, trong một số hộp Juniper, cổng quản lý được gắn trực tiếp vào RE và do đó bạn nên dễ dàng treo bộ định tuyến của mình từ đó.

Điều đó nói rằng, tôi khuyên bạn nên đặt CPE quản lý giữa các thiết bị và truy cập internet OOB của bạn và thiết lập một đường hầm GRE giữa nó và máy chủ quản lý trung tâm của bạn.

Tôi đang xử lý các vấn đề tương tự. Theo kinh nghiệm của tôi, điều tốt nhất là có một bộ xử lý quản lý chuyên dụng luôn có thể truy cập và độc lập với công cụ Sup / định tuyến. Bạn đã không chỉ định loại bộ định tuyến bạn có. Trong tình huống của bạn, tôi sẽ dựa vào một ASA nhỏ (có thể là 5505?), Kết nối nó trở lại với giao diện OOB của bộ định tuyến này và đưa ra SSL VPN. Không cần một tuyến đường mặc định, ngoại trừ nếu bạn muốn thực hiện một số giám sát thông qua kết nối này. Và bạn vẫn cần ACL trên các dòng VTY.