Dell 6024f, management security

[mr.Scamp 43]

Дайте совет, как правильнее изолировать менеджмент этой железки от юзеров?

По-умолчанию веб-морда и телнет отвечают на всех сконфигурированных IP-интерфейсах.

Out-of-band port подключен и настроен, очень хочется, чтобы доступ к управлялке был только через него.

[spaul 69]

Заходите через веб-морду в System->ManagementSecurity->AccessProfiles

 

Здесь нужно будет добавить 2 профиля. 1 должен разрешить админу конектиться с ООБ порта, второй должен запретить конектиться отовсюду.

Первое правило должно быть с большим приоритетом (то которое разрешает коннект с ООБ порта).

 

К сожалению в мануале не очень четко написано какой приоритет больше 1 или 65535.

 

Потому наверное правильнее будет настроить традиционным методом из консоли ))

 

 

Console (config)# management access-list OOB-Only

Console (config-macl)# permit out-of-band-eth 1

Console (config-macl)# exit

Console (config-macl)# management access-class OOB-Only

 

Имею такую же железяку, но покачто управление тоже разрешено везде. Если боитесь пробовать, я могу сегодня настроить у себя и дать вам точную инструкцию.

[mr.Scamp 43]

Спасибо, только что проверил, цель достигнута:

20-Dec-2010 10:43:40 %MNGINF-W-ACL: Management ACL drop packet received on interface Vlan 147 from 172.24.147.20 to 172.24.147.1 protocol 6 service Telnet
20-Dec-2010 10:47:38 %MNGINF-W-ACL: Management ACL drop packet received on interface Vlan 147 from 172.24.147.20 to 172.24.147.1 protocol 6 service Http

управление потерять не боюсь, в свитч включен консольный шнурок, а он должен работать вне зависимости от аксес-листов.