Общая информация

Management ACL — это списки контроля доступа, предназначенные для фильтрации трафика управления самим сетевым устройством, но не для транзитного трафика. На OLT серии LTP-N / LTX / MA5160 management ACL применяются только для всех VLAN-управления и всех подсетей управления, настроенных на устройстве. 

Схема подключения

Базовая конфигурация

Минимальная базовая конфигурация для настройки данного функционала должна включать настройки параметров управления. 

LTP-N 
configure terminal
    management ip 10.10.0.4
    management mask 255.255.0.0
    management gateway 10.10.0.1
    management vid 100
    interface front-port 1
        vlan allow 100
    exit
commit
exit
Пояснение 
Переход в режим конфигурирования OLT
Указание адреса управления
Указание маски подсети управления
Указание шлюза по умолчанию
Указание VLAN управления
Переход в режим конфигурирования uplink-интерфейса front-port 1
Указание VLAN 100 (management) в режиме tagged на uplink-интерфейсе
Выход из режима конфигурирования front-port 1
Применение конфигурации
Выход из CLI

Если приведенная конфигурация загружается на OLT из файла по протоколам FTP/TFTP/HTTP, выполнение сохранения конфигурации в энергонезависимую память произойдет автоматически.

Если конфигурация применяется путем вставки приведенных команд в CLI, необходимо дополнительно выполнить команду save.

При изменении сетевых настроек устройства убедитесь в корректности применяемой конфигурации во избежание потери удаленного доступа до устройства.

Настройка management ACL

Согласно приведенной схеме доступ к управлению устройством по протоколам Telnet, SSH, SNMP должен быть ограничен для для хоста 10.0.0.200. При этом доступ должен быть разрешен для хоста 10.0.0.250 и всех хостов подсети 172.16.0.0/24. Рассмотрим настройку данного сценария. 

LTP-N 
LTP-16N# configure terminal
LTP-16N(configure)# ip telnet access-control
LTP-16N(configure)# ip ssh access-control
LTP-16N(configure)# ip snmp access-control
LTP-16N(configure)# ip telnet allow ip 172.16.0.0 mask 255.255.255.0
LTP-16N(configure)# ip ssh allow ip 172.16.0.0 mask 255.255.255.0
LTP-16N(configure)# ip snmp allow ip 172.16.0.0 mask 255.255.255.0
LTP-16N(configure)# ip telnet allow ip 10.0.0.250
LTP-16N(configure)# ip ssh allow ip 10.0.0.250
LTP-16N(configure)# ip snmp allow ip 10.0.0.250
LTP-16N(configure)# exit
LTP-16N# commit
LTP-16N# save
Пояснение 
Переход в режим конфигурирования OLT
Включение management ACL для Telnet
Включение management ACL для SSH
Включение management ACL для SNMP
Разрешение подсети 172.16.0.0/24 для Telnet
Разрешение подсети 172.16.0.0/24 для SSH
Разрешение подсети 172.16.0.0/24 для SNMP
Разрешение хоста 10.0.0.250 для Telnet (отсутствие маски равносильно указанию маски /32)
Разрешение хоста 10.0.0.250 для SSH (отсутствие маски равносильно указанию маски /32)
Разрешение хоста 10.0.0.250 для SNMP (отсутствие маски равносильно указанию маски /32)
Выход из режима конфигурирования OLT
Применение выполненных изменений
Сохранение изменений в энергонезависимую память

Все перечисленные политики доступа применяются только ко всем адресам управления OLT. Как к настроенному параметром management ip, так и к настроенному на других vlan при помощи параметра ip interface management access allow. Список разрешенных подсетей для доступа к OLT используется единый для всех интерфейсов управления.

Management ACL на OLT работает по правилу whitelist – запрещено всё, что не разрешено. Поэтому перед применением настроек убедитесь в том, что все необходимые адреса и подсети указаны в применяемой конфигурации и указаны корректно во избежание потери удаленного управления устройством.

  • Нет меток