Thiết bị Cisco IOS duy nhất ở một DC từ xa, tôi có kết nối OOB được phân phối vào giá đỡ (chiều dài của Cat5e vào giá của tôi từ một giá cung cấp tại chỗ khác, có các tuyến khác nhau từ chính tôi, trong và ngoài tòa nhà) đơn giản là một Kết nối L3 với Internet, a / 29 được gửi xuống.
Truy cập VTY qua Telnet hoặc SSH thường bị giới hạn bởi danh sách truy cập vào các thiết bị trên mạng, với IP cục bộ trên mạng / AS. Bộ định tuyến từ xa này nằm trong PoP với các mạch Ethernet đường dài quay trở lại mạng lõi. Kết nối OOB sẽ được sử dụng trong các trường hợp khẩn cấp bởi các thiết bị ngoại mạng (như một liên kết bị hỏng, IGP đã chết, v.v.), với các kết nối đến từ bất kỳ IP hoặc Hệ thống tự trị nào trên thế giới.
Nếu chúng tôi đưa ra giả thuyết rằng thiết bị được cấu hình như bên dưới, với giao diện OOB được định cấu hình với IP công cộng từ nhà cung cấp kết nối OOB;
Interface Fa0/2
Descriptioc OOB Connection
ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255
Câu hỏi của tôi là rất cần thiết hai thực sự;
Làm cách nào để tôi xử lý một tình huống trong đó các thiết bị có L3 tan chảy và nó không thể định tuyến lưu lượng truy cập ra khỏi PoP vì IGP đã bị sập hoặc tương tự; bảng định tuyến đã tự làm trống chỉ chứa các tuyến được kết nối cục bộ. Nếu tôi đang trong kỳ nghỉ và kết nối với IP OOB từ một số Wi-fi của khách sạn, lưu lượng truy cập sẽ không có tuyến đường trở lại IP từ xa của tôi nếu IGP bị sập và các thiết bị bị mất.
Tôi có thể đặt giao diện OOB Fa0 / 2 vào VRF và thêm tuyến 0/0 tĩnh thông qua địa chỉ cổng nhà cung cấp OOB trong / 29 mà họ đã gán cho tôi. Tôi có thể thay đổi câu lệnh vty thành:
access-class 10 in vrf-also
Để cho phép quản lý truy cập từ giao diện VRF, nhưng điều này sẽ đụng độ với ACL của tôi. Tôi sẽ cần thêm 0/0 vào ACL, loại bỏ điểm có ACL. Tôi có thể giữ nguyên ACL không, nhưng cho phép bất kỳ IP nào kết nối khi kết nối với giao diện OOB một cách cụ thể?
Có lẽ tôi có thể sử dụng bản đồ tuyến đường một số cách định tuyến bất kỳ lưu lượng truy cập nào từ giao diện OOB trở ra qua cổng đó? Hoặc không sử dụng VRF và thêm tuyến 0,0.0.0 / 0 vào bảng mặc định với số liệu 254 và thêm ACL ra ngoài trên giao diện OOB chỉ cho phép lưu lượng truy cập đến từ TCP 22 từ IP của giao diện đó (vì vậy SSH quản lý giao thông). Cách đó chỉ quản lý lưu lượng sẽ được phép ra? Tôi bị mất ý tưởng ở đây.