При необходимости в целях безопасности на OLT возможна настройка правил для ограничения доступа к OLT из определенных IP подсетей по указанным протоколам управления (TELNET / SSH / SNMP).
LTP-X
По умолчанию на LTP-X разрешен доступ к управлению OLT из любых IP подсетей и по любым протоколам управления из поддержанных. При включении функции ограничения доступа, к примеру по протоколу telnet – ip telnet access-control, доступ по этому протоколу будет разрешен только с указанных в настройках адресов. Ограничение здесь будет работать по правилу whitelist – запрещено всё, что не разрешено. Поэтому во избежание потери доступа к OLT рекомендуется настраивать одновременно и включение ограничения доступа и указывать разрешенные IP подсети, применять все изменения в одном commit.
Ниже приведен пример разрешения доступа к управлению OLT по протоколу telnet только для IP адреса 192.168.11.75 в VLAN 3470. Для остальных доступ будет запрещен.
LTP-8X# configure terminal LTP-8X(config)# ip telnet access-control LTP-8X(config)# ip telnet allow ip 192.168.11.75 mask 32 vid 3470 LTP-8X(config)# do commit LTP-8X(config)# do save
Аналогично можно выполнить настройку ограничения доступа для подключения по протоколам SSH и SNMP. Количество узлов, которым будет разрешен доступ определяется маской подсети. Всего можно создать по 16 правил с описанием разрешенных хостов или подсетей для каждого из протоколов управления.
MA4000
Для MA4000 настройка ограничения доступа к управлению OLT реализована несколько иным образом. Здесь можно глобально выбрать по какому принципу будет формироваться список доступа – blacklist или whitelist. По умолчанию глобально действует правило blacklist – разрешено всё, что не запрещено:
management access-list default allow
Для формирования конкретных правил ограничения доступа используются заранее предустановленные списки management-acl, которые по умолчанию являются пустыми. Существуют следующие списки доступа:
- access-list-ip – формирует список доступа на основе IP адресов;
- access-list-mac – формирует список доступа на основе MAC адресов;
- access-list-any – формирует список доступа без учета IP и MAC адресов.
Сами списки management-acl позволяют настроить внутри них следующие параметры:
- allow / deny – тип правила, разрешающее или запрещающее;
- snmp / ssh / telnet / any – протокол, для которого будет действовать данное правило (SNMP, SSH, TELNET или все перечисленные);
- front-port / port-channel / slot-channel / any – интерфейс, для которого будет действовать данное правило;
- ip / mask / mac – параметры хоста или подсети, для доступа с которого формируется приавло.
Разберем пример формирования правила. Оставим глобальное правило по умолчанию allow, т.е. формируем blacklist. К примеру, запретим доступ по протоколу telnet для хоста с IP адресом 192.168.11.75 с интерфейса front-port 2/1 по протоколу telnet. Для такого ограничения правило будет выглядеть следующим образом:
ma4000# configure terminal ma4000(config)# management access-list-ip ma4000(acl-ip)# insert deny telnet front-port 2/1 192.168.11.75 255.255.255.255 0 ma4000(acl-ip)# do commit ma4000(acl-ip)# do confirm
Правило заработает автоматически после выполнения commit.
Если необходимо запретить подключение к MA4000 с IP-адреса 192.168.11.75 по всем протоколам управления и со всех интерфейсов, правило запрета доступа будет выглядеть следующим образом:
ma4000(acl-ip)# insert deny any any 192.168.11.75 255.255.255.255 0