Просмотреть исходный

При необходимости в целях безопасности на OLT возможна настройка правил для ограничения доступа к OLT из определенных IP подсетей по указанным протоколам управления (TELNET / SSH / SNMP).

LTP-X

По умолчанию на LTP-X разрешен доступ к управлению OLT из любых IP подсетей и по любым протоколам управления из поддержанных. При включении функции ограничения доступа, к примеру по протоколу telnet – ip telnet access-control, доступ по этому протоколу будет разрешен только с указанных в настройках адресов. Ограничение здесь будет работать по правилу whitelist – запрещено всё, что не разрешено. Поэтому во избежание потери доступа к OLT рекомендуется настраивать одновременно и включение ограничения доступа и указывать разрешенные IP подсети, применять все изменения в одном commit.

Ниже приведен пример разрешения доступа к управлению OLT по протоколу telnet только для IP адреса 192.168.11.75 в VLAN 3470. Для остальных доступ будет запрещен.

LTP-8X# configure terminal
LTP-8X(config)# ip telnet access-control
LTP-8X(config)# ip telnet allow ip 192.168.11.75 mask 32 vid 3470
LTP-8X(config)# do commit
LTP-8X(config)# do save

Аналогично можно выполнить настройку ограничения доступа для подключения по протоколам SSH и SNMP. Количество узлов, которым будет разрешен доступ определяется маской подсети. Всего можно создать по 16 правил с описанием разрешенных хостов или подсетей для каждого из протоколов управления.

MA4000

Для MA4000 настройка ограничения доступа к управлению OLT реализована несколько иным образом. Здесь можно глобально выбрать по какому принципу будет формироваться список доступа – blacklist или whitelist. По умолчанию глобально действует правило blacklist – разрешено всё, что не запрещено:

management access-list default allow

Для формирования конкретных правил ограничения доступа используются заранее предустановленные списки management-acl, которые по умолчанию являются пустыми. Существуют следующие списки доступа:

access-list-ip – формирует список доступа на основе IP адресов;
access-list-mac – формирует список доступа на основе MAC адресов;
access-list-any – формирует список доступа без учета IP и MAC адресов.

Сами списки management-acl позволяют настроить внутри них следующие параметры:

allow / deny – тип правила, разрешающее или запрещающее;
snmp / ssh / telnet / any – протокол, для которого будет действовать данное правило (SNMP, SSH, TELNET или все перечисленные);
front-port / port-channel / slot-channel / any – интерфейс, для которого будет действовать данное правило;
ip / mask / mac – параметры хоста или подсети, для доступа с которого формируется приавло.

Разберем пример формирования правила. Оставим глобальное правило по умолчанию allow, т.е. формируем blacklist. К примеру, запретим доступ по протоколу telnet для хоста с IP адресом 192.168.11.75 с интерфейса front-port 2/1 по протоколу telnet. Для такого ограничения правило будет выглядеть следующим образом:

ma4000# configure terminal
ma4000(config)# management access-list-ip
ma4000(acl-ip)# insert deny telnet front-port 2/1 192.168.11.75 255.255.255.255 0
ma4000(acl-ip)# do commit
ma4000(acl-ip)# do confirm

Правило заработает автоматически после выполнения commit.

Если необходимо запретить подключение к MA4000 с IP-адреса 192.168.11.75 по всем протоколам управления и со всех интерфейсов, правило запрета доступа будет выглядеть следующим образом:

ma4000(acl-ip)# insert deny any any 192.168.11.75 255.255.255.255 0