So konfigurieren Sie den OOB-Zugriff über IP

7

Als einzelnes Cisco IOS-Gerät in einem Remote-DC wird eine OOB- Verbindung in das Rack geliefert (Länge von Cat5e in mein Rack von einem anderen Anbieter-Rack vor Ort, das verschiedene Routen von meinem eigenen innerhalb und außerhalb des Gebäudes hat) L3-Verbindung zum Internet, eine / 29 wird über das Internet geliefert.

Der VTY-Zugriff über Telnet oder SSH wird normalerweise durch eine Zugriffsliste auf On-Net-Geräte mit lokalen IPs im Netzwerk / AS eingeschränkt. Dieser Remote-Router befindet sich in einem PoP mit Langstrecken-Ethernet-Verbindungen zurück zum Kernnetzwerk. Die OOB-Verbindung wird in Notfällen von Off-Net-Geräten (z. B. unterbrochener Verbindung, totem IGP usw.) verwendet, wobei die Verbindungen möglicherweise von einem beliebigen IP- oder autonomen System auf der ganzen Welt stammen.

Wenn wir davon ausgehen, dass das Gerät wie folgt konfiguriert ist und die OOB-Schnittstelle mit einer öffentlichen IP vom OOB-Verbindungsanbieter konfiguriert ist;

Interface Fa0/2
 Descriptioc OOB Connection
 ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
 access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255

Meine Frage ist wirklich wesentlich zwei;

Wie gehe ich mit einem Szenario um, in dem auf den Geräten ein L3-Zusammenbruch auftritt und der Datenverkehr nicht aus dem PoP weitergeleitet werden kann, weil IGP zusammengebrochen ist oder ähnliches? Die Routing-Tabelle hat sich selbst geleert und enthält nur noch lokal verbundene Routen. Wenn ich im Urlaub bin und über ein Hotel-WLAN eine Verbindung zur OOB-IP herstelle, wird der Datenverkehr nicht zu meiner Remote-IP zurückgeführt, wenn IGP zusammengebrochen ist und die Geräte ihre Kollegen verloren haben.

Ich könnte die OOB-Schnittstelle Fa0 / 2 in eine VRF einfügen und eine statische 0/0-Route über die OOB-Provider-Gateway-Adresse in der / 29 hinzufügen, die sie mir zugewiesen haben. Ich könnte die vty-Anweisung wie folgt ändern:

 access-class 10 in vrf-also

Um den Verwaltungszugriff über die VRF-Schnittstelle zuzulassen, kollidiert dies jedoch mit meiner ACL. Ich müsste der ACL 0/0 hinzufügen und den Punkt entfernen, an dem die ACL vorhanden ist. Kann ich die ACL unverändert lassen, aber zulassen, dass eine IP-Adresse eine Verbindung herstellt, wenn eine spezielle Verbindung zur OOB-Schnittstelle hergestellt wird?

Vielleicht kann ich eine Routenkarte verwenden, um den von der OOB-Schnittstelle eingehenden Datenverkehr über dieses Gateway zurückzuleiten? Oder verwenden Sie keine VRF und fügen Sie der Standardtabelle mit der Metrik 254 eine Route 0.0.0.0/0 hinzu. Fügen Sie auf der OOB-Schnittstelle eine ausgehende ACL hinzu, die nur den von TCP 22 kommenden Datenverkehr von der IP-Adresse dieser Schnittstelle (also SSH) zulässt Verwaltungsverkehr). Auf diese Weise würde nur Verwaltungsdatenverkehr zugelassen? Ich bin verloren für die Idee hier.

jwbensley
quelle
Verwenden Sie eine Zwei-Faktor-Authentifizierung (z. B. Secure-ID) oder nur einfache Benutzernamen-Kennwörter für die Authentifizierung bei diesem Router?
Mike Pennington
Es tut mir leid, aber ich kann etwas nicht verstehen. Wie können Sie 0/0 in ACL 10 vermeiden, wenn Sie sich fragen, wie Sie eine Verbindung zum $ HOTEL-Raum herstellen können?
Marco Marzetti
@ MikePennington Nur Benutzername und Passwort für den Moment, um die Dinge beim Testen einfach zu halten
jwbensley
@MarcoMarzetti Ich weiß nicht, wie ich das vermeiden kann? Dies ist mein Rätsel. Kann ich eine separate ACL für eine Schnittstelle in einer VRF haben?
Jwbensley
1
Erscheint diese ACL 10 auf allen Ihren VTYs, wenn nicht vielleicht ein "Jump Host" -Ansatz. Auch wenn Sie von einem Hotel aus eine Verbindung herstellen, geben Sie, was auch immer Sie verbinden, eine IP-Adresse in Ihrem Netzwerk an
fredpbaker

Antworten:

2

Abhängig von der Hardware, über die Sie sprechen, sollten Sie unterschiedliche Überlegungen anstellen.

Zum Beispiel bietet Cisco einen dedizierten Satz von Port / RAM und Flash für den OOB-Zugriff auf SUP2T, sodass Sie auch dann auf Ihr Gerät zugreifen können, wenn RP hängt. OTOH, in einigen Juniper-Boxen ist der Verwaltungsport direkt an den RE angeschlossen, sodass Sie Ihren Router problemlos von dort aus aufhängen sollten.

Trotzdem würde ich Ihnen empfehlen, ein Verwaltungs-CPE zwischen Ihren Geräten und Ihrem OOB-Internetzugang einzurichten und einen GRE-Tunnel zwischen diesem und Ihrem zentralen Verwaltungsserver einzurichten.

Marco Marzetti
quelle
Leider erlaubt mir die Logik nicht, mein gewünschtes Szenario zu haben. Ein separates Gerät ist erforderlich (und wahrscheinlich am besten). Prost.
Jwbensley
1

Ich beschäftige mich mit ähnlichen Themen. Aus meiner Erfahrung ist es am besten, einen dedizierten Management-Prozessor zu haben, der immer zugänglich und unabhängig von der Sup / Routing-Engine ist. Sie haben nicht angegeben, welchen Routertyp Sie haben. In Ihrer Situation würde ich mich auf einen kleinen ASA (5505 vielleicht?) Verlassen, ihn Rücken an Rücken mit der OOB-Schnittstelle dieses Routers verbinden und SSL VPN aufrufen. Es ist keine Standardroute erforderlich, es sei denn, Sie möchten über diese Verbindung eine Überwachung durchführen. Und Sie benötigen immer noch die ACL in den VTY-Leitungen.

sergejv
quelle
In diesem Szenario stimme ich Fredpbaker zu, dass eine Sprungbox wahrscheinlich der richtige Weg ist. Dies ist jedoch eine gute Idee, also danke für diese Idee. Wenn es sich um mehr als ein Gerät handelt, auf das ich Zugriff benötige (nur eines ist nicht sehr häufig), gehe ich diesen Weg eines separaten Geräts, benutze aber stattdessen einen seriellen Server.
Jwbensley