Общая информация

Management ACL — это списки контроля доступа, предназначенные для фильтрации трафика управления самим сетевым устройством, но не для транзитного трафика. На OLT серии LTP-N / LTX / MA5160 management ACL применяются только для всех VLAN-управления и всех подсетей управления, настроенных на устройстве. 

Схема подключения

Базовая конфигурация

Минимальная базовая конфигурация для настройки данного функционала должна включать настройки параметров управления. 

configure terminal
    management ip 10.10.0.4
    management mask 255.255.0.0
    management gateway 10.10.0.1
    management vid 100
    interface front-port 1
        vlan allow 100
    exit
commit
exit
Переход в режим конфигурирования OLT
Указание адреса управления
Указание маски подсети управления
Указание шлюза по умолчанию
Указание VLAN управления
Переход в режим конфигурирования uplink-интерфейса front-port 1
Указание VLAN 100 (management) в режиме tagged на uplink-интерфейсе
Выход из режима конфигурирования front-port 1
Применение конфигурации
Выход из CLI

Если приведенная конфигурация загружается на OLT из файла по протоколам FTP/TFTP/HTTP, выполнение сохранения конфигурации в энергонезависимую память произойдет автоматически.

Если конфигурация применяется путем вставки приведенных команд в CLI, необходимо дополнительно выполнить команду save.

При изменении сетевых настроек устройства убедитесь в корректности применяемой конфигурации во избежание потери удаленного доступа до устройства.

Настройка management ACL

Согласно приведенной схеме доступ к управлению устройством по протоколам Telnet, SSH, SNMP должен быть ограничен для для хоста 10.0.0.200. При этом доступ должен быть разрешен для хоста 10.0.0.250 и всех хостов подсети 172.16.0.0/24. Рассмотрим настройку данного сценария. 

LTP-16N# configure terminal
LTP-16N(configure)# ip telnet access-control
LTP-16N(configure)# ip ssh access-control
LTP-16N(configure)# ip snmp access-control
LTP-16N(configure)# ip telnet allow ip 172.16.0.0 mask 255.255.255.0
LTP-16N(configure)# ip ssh allow ip 172.16.0.0 mask 255.255.255.0
LTP-16N(configure)# ip snmp allow ip 172.16.0.0 mask 255.255.255.0
LTP-16N(configure)# ip telnet allow ip 10.0.0.250
LTP-16N(configure)# ip ssh allow ip 10.0.0.250
LTP-16N(configure)# ip snmp allow ip 10.0.0.250
LTP-16N(configure)# exit
LTP-16N# commit
LTP-16N# save
Переход в режим конфигурирования OLT
Включение management ACL для Telnet
Включение management ACL для SSH
Включение management ACL для SNMP
Разрешение подсети 172.16.0.0/24 для Telnet
Разрешение подсети 172.16.0.0/24 для SSH
Разрешение подсети 172.16.0.0/24 для SNMP
Разрешение хоста 10.0.0.250 для Telnet (отсутствие маски равносильно указанию маски /32)
Разрешение хоста 10.0.0.250 для SSH (отсутствие маски равносильно указанию маски /32)
Разрешение хоста 10.0.0.250 для SNMP (отсутствие маски равносильно указанию маски /32)
Выход из режима конфигурирования OLT
Применение выполненных изменений
Сохранение изменений в энергонезависимую память

Все перечисленные политики доступа применяются только ко всем адресам управления OLT. Как к настроенному параметром management ip, так и к настроенному на других vlan при помощи параметра ip interface management access allow. Список разрешенных подсетей для доступа к OLT используется единый для всех интерфейсов управления.

Management ACL на OLT работает по правилу whitelist – запрещено всё, что не разрешено. Поэтому перед применением настроек убедитесь в том, что все необходимые адреса и подсети указаны в применяемой конфигурации и указаны корректно во избежание потери удаленного управления устройством.