Como configurar o acesso OOB via IP

7

Único dispositivo Cisco IOS em um DC remoto, eu tenho uma conexão OOB entregue no rack (comprimento do Cat5e no meu rack de outro rack de fornecedores no local, que possuem diversas rotas próprias, dentro e fora do prédio), que é simplesmente um Conexão L3 à Internet, um / 29 é enviado por ela.

O acesso VTY via Telnet ou SSH geralmente é limitado por uma lista de acesso a dispositivos on-net, com IPs locais na rede / AS. Este roteador remoto está em um PoP com circuitos Ethernet de longo curso de volta à rede principal. A conexão OOB seria usada em emergências por dispositivos fora da rede (como um link quebrado, IGP inoperante etc.), com conexões provenientes de potencialmente qualquer IP ou sistema autônomo em todo o mundo.

Se teorizarmos que o dispositivo está configurado como abaixo, com a interface OOB configurada com um IP público do provedor de conexão OOB;

Interface Fa0/2
 Descriptioc OOB Connection
 ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
 access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255

Minha pergunta é realmente essencial dois;

Como lidar com um cenário durante o qual os dispositivos têm um L3 derretido e ele não pode rotear o tráfego para fora do PoP porque o IGP entrou em colapso ou semelhante; a tabela de roteamento se esvaziou agora, contendo apenas rotas conectadas localmente. Se estiver de férias e me conectar ao IP OOB a partir de algum hotel Wi-fi, o tráfego não terá uma rota de volta para o meu IP remoto se o IGP entrar em colapso e os dispositivos perderem seus pares.

Eu poderia colocar a interface OOB Fa0 / 2 em um VRF e adicionar uma rota estática 0/0 através do endereço do gateway do provedor OOB dentro do / 29 que eles me atribuíram. Eu poderia mudar a declaração vty para:

 access-class 10 in vrf-also

Permitir acesso de gerenciamento a partir da interface VRF, mas isso entrará em conflito com minha ACL. Eu precisaria adicionar 0/0 à ACL, removendo o ponto de ter a ACL. Posso manter a ACL como está, mas permitir que qualquer IP se conecte ao conectar-se especificamente à interface OOB?

Talvez eu possa usar um mapa de rotas como rotear qualquer tráfego proveniente da interface OOB de volta através desse gateway? Ou não use um VRF e adicione uma rota 0.0.0.0/0 à tabela padrão com a métrica 254 e adicione uma saída ACL na interface OOB que permite apenas o tráfego proveniente do TCP 22 a partir do IP dessa interface (portanto, SSH tráfego de gerenciamento). Dessa forma, apenas o tráfego de gerenciamento seria permitido? Estou perdido para a idéia aqui.

jwbensley
fonte
você está usando autenticação de dois fatores (como Secure-ID) ou apenas senhas de nome de usuário simples para autenticação neste roteador?
21813 Mike Pennington
Sinto muito, mas há algo que não consigo entender. Como você pode evitar 0/0 no ACL 10, se você está se perguntando como se conectar ao quarto $ HOTEL?
Marco Marzetti
@MikePennington Apenas nome de usuário e senha, por enquanto, manter as coisas simples, enquanto testando
jwbensley
@MarcoMarzetti Não sei como evitar isso? Esse é o meu enigma. Posso ter uma ACL separada para uma interface em um VRF?
jwbensley
11
Essa ACL 10 aparece em todos os seus VTYs, se não uma abordagem de "host de salto". Além disso, se estiver a ligar de volta de um hotel, o que nunca você está se conectando está dando-lhe um endereço IP em sua rede
fredpbaker

Respostas:

2

Dependendo do hardware do qual você está falando, você deve considerar diferentes considerações.

Por exemplo, a Cisco fornece um conjunto dedicado de porta / RAM e flash para acesso OOB no SUP2T, para que você possa acessar seu dispositivo mesmo quando o RP travar. OTOH, em algumas caixas Juniper, a porta de gerenciamento é conectada diretamente ao RE e, portanto, você deve pendurar facilmente seu roteador a partir daí.

Dito isso, recomendo que você coloque um CPE de gerenciamento entre seus dispositivos e seu acesso à Internet OOB e configure um túnel GRE entre ele e o servidor de gerenciamento central.

Marco Marzetti
fonte
Infelizmente, a lógica não me permite ter o cenário desejado. É necessário um dispositivo separado (e provavelmente o melhor). Felicidades.
precisa saber é o seguinte
1

Estou lidando com questões semelhantes. Pela minha experiência, o melhor é ter um processador de gerenciamento dedicado, sempre acessível e independente do mecanismo de roteamento / Sup. Você não especificou que tipo de roteador você possui. Na sua situação, eu contaria com um pequeno ASA (5505, talvez?), Conecte-o novamente com a interface OOB deste roteador e crie uma VPN SSL. Não há necessidade de uma rota padrão, exceto se você deseja fazer algum monitoramento através desta conexão. E você ainda precisa da ACL nas linhas VTY.

sergejv
fonte
Nesse cenário, concordo com fredpbaker que uma caixa de salto é provavelmente o caminho a percorrer. Esta é uma boa ideia, então obrigado por essa idéia. Se for mais do que um dispositivo ao qual preciso acessar (apenas um, não é muito comum), seguirei esta rota de um dispositivo separado, mas utilizarei um servidor serial.
jwbensley