Único dispositivo Cisco IOS em um DC remoto, eu tenho uma conexão OOB entregue no rack (comprimento do Cat5e no meu rack de outro rack de fornecedores no local, que possuem diversas rotas próprias, dentro e fora do prédio), que é simplesmente um Conexão L3 à Internet, um / 29 é enviado por ela.
O acesso VTY via Telnet ou SSH geralmente é limitado por uma lista de acesso a dispositivos on-net, com IPs locais na rede / AS. Este roteador remoto está em um PoP com circuitos Ethernet de longo curso de volta à rede principal. A conexão OOB seria usada em emergências por dispositivos fora da rede (como um link quebrado, IGP inoperante etc.), com conexões provenientes de potencialmente qualquer IP ou sistema autônomo em todo o mundo.
Se teorizarmos que o dispositivo está configurado como abaixo, com a interface OOB configurada com um IP público do provedor de conexão OOB;
Interface Fa0/2
Descriptioc OOB Connection
ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255
Minha pergunta é realmente essencial dois;
Como lidar com um cenário durante o qual os dispositivos têm um L3 derretido e ele não pode rotear o tráfego para fora do PoP porque o IGP entrou em colapso ou semelhante; a tabela de roteamento se esvaziou agora, contendo apenas rotas conectadas localmente. Se estiver de férias e me conectar ao IP OOB a partir de algum hotel Wi-fi, o tráfego não terá uma rota de volta para o meu IP remoto se o IGP entrar em colapso e os dispositivos perderem seus pares.
Eu poderia colocar a interface OOB Fa0 / 2 em um VRF e adicionar uma rota estática 0/0 através do endereço do gateway do provedor OOB dentro do / 29 que eles me atribuíram. Eu poderia mudar a declaração vty para:
access-class 10 in vrf-also
Permitir acesso de gerenciamento a partir da interface VRF, mas isso entrará em conflito com minha ACL. Eu precisaria adicionar 0/0 à ACL, removendo o ponto de ter a ACL. Posso manter a ACL como está, mas permitir que qualquer IP se conecte ao conectar-se especificamente à interface OOB?
Talvez eu possa usar um mapa de rotas como rotear qualquer tráfego proveniente da interface OOB de volta através desse gateway? Ou não use um VRF e adicione uma rota 0.0.0.0/0 à tabela padrão com a métrica 254 e adicione uma saída ACL na interface OOB que permite apenas o tráfego proveniente do TCP 22 a partir do IP dessa interface (portanto, SSH tráfego de gerenciamento). Dessa forma, apenas o tráfego de gerenciamento seria permitido? Estou perdido para a idéia aqui.
Respostas:
Dependendo do hardware do qual você está falando, você deve considerar diferentes considerações.
Por exemplo, a Cisco fornece um conjunto dedicado de porta / RAM e flash para acesso OOB no SUP2T, para que você possa acessar seu dispositivo mesmo quando o RP travar. OTOH, em algumas caixas Juniper, a porta de gerenciamento é conectada diretamente ao RE e, portanto, você deve pendurar facilmente seu roteador a partir daí.
Dito isso, recomendo que você coloque um CPE de gerenciamento entre seus dispositivos e seu acesso à Internet OOB e configure um túnel GRE entre ele e o servidor de gerenciamento central.
fonte
Estou lidando com questões semelhantes. Pela minha experiência, o melhor é ter um processador de gerenciamento dedicado, sempre acessível e independente do mecanismo de roteamento / Sup. Você não especificou que tipo de roteador você possui. Na sua situação, eu contaria com um pequeno ASA (5505, talvez?), Conecte-o novamente com a interface OOB deste roteador e crie uma VPN SSL. Não há necessidade de uma rota padrão, exceto se você deseja fazer algum monitoramento através desta conexão. E você ainda precisa da ACL nas linhas VTY.
fonte