Roteador Allied Telesis: filtragem de IP para a interface LOCAL

4

Dado um roteador da Allied Telesis com um AlliedWare OS (2.9.1) eu gostaria de desabilitar o acesso a todos os serviços de gerenciamento do roteador, exceto por um número de sub-redes (ou alternativamente ter o que é uma "VLAN de gerenciamento" com outros fabricantes 'modelos de switch e roteador).

O que tentei até agora:

  • criando uma nova VLAN e uma interface IP apropriada, definindo o IP LOCAL nesta sub-rede, criando um filtro IP para a interface IP e especificando minhas sub-redes de exclusão: ele simplesmente não funciona como planejado, pois eu posso acessar o IP LOCAL configurado a partir de qualquer uma das outras interfaces de VLAN - o tráfego aparentemente não está passando pelo meu conjunto de filtros definidos em todos os

  • criando um novo conjunto de filtros IP e vinculando-o à interface IP LOCAL: isso parece não afetar nenhum tipo de tráfego, os contadores do conjunto de filtros permanecem com zero pacotes

  • definindo o intervalo de endereços IP do nível do responsável de segurança remota: isso restringe apenas a capacidade de um usuário com o nível de privilégio do responsável pela segurança efetuar login a partir de qualquer faixa de endereços / sub-redes. Infelizmente, isso não impede a disponibilidade do serviço (e, portanto, a capacidade do DoS) ou a capacidade de efetuar login como um usuário com menos privilégios (por exemplo, um "gerente")

  • ligando para o suporte técnico: infelizmente nenhuma solução até o momento

O que eu não tentei:

  • criando um conjunto de filtros para cada interface IP definida no roteador e excluindo o acesso ao IP de gerenciamento do roteador: Eu gostaria de reduzir a sobrecarga induzida pelos filtros IP, pois o roteador já está restrito a CPU às vezes. Configurar filtros para cada interface IP significaria que todo e qualquer pacote de tráfego teria que passar pelos filtros, consumindo assim os ciclos da CPU. Se por qualquer meio possível, eu gostaria de encontrar uma solução diferente.
por the-wabbit 21.07.2012 / 00:30

1 resposta

0

A resposta final de um engenheiro de suporte L2 da AT foi que não é possível restringir o gerenciamento a uma interface específica, exceto pela configuração de regras de filtragem em todas as interfaces nas quais você não deseja que o gerenciamento aconteça.

    
por 06.12.2012 / 11:53

Tags