Cách định cấu hình truy cập OOB qua IP


7

Thiết bị Cisco IOS duy nhất ở một DC từ xa, tôi có kết nối OOB được phân phối vào giá đỡ (chiều dài của Cat5e vào giá của tôi từ một giá cung cấp tại chỗ khác, có các tuyến khác nhau từ chính tôi, trong và ngoài tòa nhà) đơn giản là một Kết nối L3 với Internet, a / 29 được gửi xuống.

Truy cập VTY qua Telnet hoặc SSH thường bị giới hạn bởi danh sách truy cập vào các thiết bị trên mạng, với IP cục bộ trên mạng / AS. Bộ định tuyến từ xa này nằm trong PoP với các mạch Ethernet đường dài quay trở lại mạng lõi. Kết nối OOB sẽ được sử dụng trong các trường hợp khẩn cấp bởi các thiết bị ngoại mạng (như một liên kết bị hỏng, IGP đã chết, v.v.), với các kết nối đến từ bất kỳ IP hoặc Hệ thống tự trị nào trên thế giới.

Nếu chúng tôi đưa ra giả thuyết rằng thiết bị được cấu hình như bên dưới, với giao diện OOB được định cấu hình với IP công cộng từ nhà cung cấp kết nối OOB;

Interface Fa0/2
 Descriptioc OOB Connection
 ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
 access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255

Câu hỏi của tôi là rất cần thiết hai thực sự;

Làm cách nào để tôi xử lý một tình huống trong đó các thiết bị có L3 tan chảy và nó không thể định tuyến lưu lượng truy cập ra khỏi PoP vì IGP đã bị sập hoặc tương tự; bảng định tuyến đã tự làm trống chỉ chứa các tuyến được kết nối cục bộ. Nếu tôi đang trong kỳ nghỉ và kết nối với IP OOB từ một số Wi-fi của khách sạn, lưu lượng truy cập sẽ không có tuyến đường trở lại IP từ xa của tôi nếu IGP bị sập và các thiết bị bị mất.

Tôi có thể đặt giao diện OOB Fa0 / 2 vào VRF và thêm tuyến 0/0 tĩnh thông qua địa chỉ cổng nhà cung cấp OOB trong / 29 mà họ đã gán cho tôi. Tôi có thể thay đổi câu lệnh vty thành:

 access-class 10 in vrf-also

Để cho phép quản lý truy cập từ giao diện VRF, nhưng điều này sẽ đụng độ với ACL của tôi. Tôi sẽ cần thêm 0/0 vào ACL, loại bỏ điểm có ACL. Tôi có thể giữ nguyên ACL không, nhưng cho phép bất kỳ IP nào kết nối khi kết nối với giao diện OOB một cách cụ thể?

Có lẽ tôi có thể sử dụng bản đồ tuyến đường một số cách định tuyến bất kỳ lưu lượng truy cập nào từ giao diện OOB trở ra qua cổng đó? Hoặc không sử dụng VRF và thêm tuyến 0,0.0.0 / 0 vào bảng mặc định với số liệu 254 và thêm ACL ra ngoài trên giao diện OOB chỉ cho phép lưu lượng truy cập đến từ TCP 22 từ IP của giao diện đó (vì vậy SSH quản lý giao thông). Cách đó chỉ quản lý lưu lượng sẽ được phép ra? Tôi bị mất ý tưởng ở đây.


bạn đang sử dụng xác thực hai yếu tố (như Secure-ID) hay chỉ là mật khẩu tên người dùng đơn giản để xác thực cho bộ định tuyến này?
Mike Pennington

Tôi xin lỗi nhưng có điều gì đó tôi không thể hiểu. Làm thế nào bạn có thể tránh 0/0 trong ACL 10 nếu bạn đang tự hỏi làm thế nào để kết nối mẫu phòng khách sạn $?
Marco Marzetti

@MikePennington Chỉ cần tên người dùng và mật khẩu ngay bây giờ, để giữ mọi thứ đơn giản trong khi thử nghiệm
jwbensley

@MarcoMarzetti Tôi không biết làm thế nào tôi có thể tránh điều đó? Đây là câu hỏi hóc búa của tôi, tôi có thể có một ACL riêng cho giao diện trong VRF không?
jwbensley

1
ACL 10 này có xuất hiện trên tất cả các VTY của bạn không, nếu không có thể là phương pháp 'nhảy máy chủ'. Ngoài ra, nếu bạn đang kết nối trở lại từ một Khách sạn, bất cứ điều gì bạn đang kết nối sẽ cung cấp cho bạn một địa chỉ IP trên mạng của bạn
fredpbaker

Câu trả lời:


2

Tùy thuộc vào phần cứng mà bạn đang nói về bạn nên cân nhắc khác nhau.

Chẳng hạn, Cisco cung cấp một bộ cổng / RAM và đèn flash chuyên dụng để truy cập OOB trên SUP2T, do đó bạn có thể truy cập vào thiết bị của mình ngay cả khi RP bị treo. OTOH, trong một số hộp Juniper, cổng quản lý được gắn trực tiếp vào RE và do đó bạn nên dễ dàng treo bộ định tuyến của mình từ đó.

Điều đó nói rằng, tôi khuyên bạn nên đặt CPE quản lý giữa các thiết bị và truy cập internet OOB của bạn và thiết lập một đường hầm GRE giữa nó và máy chủ quản lý trung tâm của bạn.


Đáng buồn là logic không cho phép tôi có kịch bản mong muốn của tôi. Một thiết bị riêng biệt là bắt buộc (và có lẽ là tốt nhất). Chúc mừng.
jwbensley

1

Tôi đang xử lý các vấn đề tương tự. Theo kinh nghiệm của tôi, điều tốt nhất là có một bộ xử lý quản lý chuyên dụng luôn có thể truy cập và độc lập với công cụ Sup / định tuyến. Bạn đã không chỉ định loại bộ định tuyến bạn có. Trong tình huống của bạn, tôi sẽ dựa vào một ASA nhỏ (có thể là 5505?), Kết nối nó trở lại với giao diện OOB của bộ định tuyến này và đưa ra SSL VPN. Không cần một tuyến đường mặc định, ngoại trừ nếu bạn muốn thực hiện một số giám sát thông qua kết nối này. Và bạn vẫn cần ACL trên các dòng VTY.


Trong kịch bản này, tôi đồng ý với fredpbaker rằng một hộp nhảy có lẽ là con đường để đi. Đây là một ý tưởng tốt, vì vậy cảm ơn cho ý tưởng này. Nếu nó có nhiều hơn một thiết bị tôi cần truy cập (chỉ một thiết bị, không phổ biến lắm) thì tôi sẽ đi theo tuyến đường này của một thiết bị riêng biệt, nhưng thay vào đó sử dụng một máy chủ nối tiếp.
jwbensley
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.