带外管理提供了一种登录网络设备的方式,而无需通过数据传输所用的同一网络。

您可能要这样做有几个原因,最常见的原因是安全性。如果您有直接处理互联网流量的路由器,交换机或防火墙,那么让这些设备可以从任意互联网地址进行管理访问是一个非常糟糕的主意。有几种方法可以锁定事物,以便只有您可以通过Internet访问这些设备。但是如果有的话还是更好’根本没有向互联网提供任何管理界面。

有时,人们也对内部网络使用带外管理,以确保生产应用程序流量永远不会与管理流量混合。

带外管理的另一个常见原因是在主网络不可用的情况下允许紧急访问物理上的远程设备。它’通常,拥有一个特殊的后门非常方便,您可以使用它来解决任何损坏主网络的问题。

如果外部公司正在管理部分或全部网络设备,则可能要使用带外管理。这样可以防止外部公司访问您网络上的数据,同时仍然允许他们访问网络设备。

有三种主要的带外管理方法。选择正确的方法取决于您的目标。

1.调制解调器

一种传统的带外管理方法是将调制解调器连接到网络设备的控制台端口。此方法有几个明显的局限性。它要求您为要管理的每台设备都配备电话线和调制解调器,因此扩展性不佳。您一次只能登录几台设备。而且,保护调制解调器线路非常困难。即使您在每台设备上都有用户ID和强密码,任何能够猜测或绊倒调制解调器电话号码的人都至少可以通过打通电话线来阻止您访问它。

在某些情况下,人们在不使用调制解调器时会被物理关闭。远程站点上的某人必须打开它以允许访问。关闭调制解调器可以解决安全性问题,但在需要时甚至更难获得访问权限。

同样,调制解调器和电话线往往很慢。如果您必须通过这种方式将新固件下载到设备中,则需要耐心等待。而且每次您都需要用力时,通话不会在下载过程中途中断。

2.终端服务器

终端服务器是具有许多低速异步串行接口的设备。然后,您将这些串行接口连接到远程位置的各种网络设备。当有许多设备要管理时,这非常有用。终端服务器本身可以是专用设备,例如Avocent设备,也可以只是带有几个高密度,低速异步串行模块的路由器(例如Cisco 3925)。

对终端服务器的访问通常是通过单独的网络进行的,尽管您可以轻松地将调制解调器连接到终端服务器并通过电话线进行连接。以太网连接是最常见的方法。通常,每个端口都有一个TCP端口号。您通过与特定设备控制台连接相对应的端口号Telnet到终端服务器的IP地址。

对于调制解调器和终端服务器带外管理选项,您都可以像配置普通终端(或便携式计算机)连接那样完全配置网络设备的控制台端口:

!
line console
 login
 exec-timeout 5 0
!

It’使用终端服务器或调制解调器时,在控制台上包括“ exec-timeout”至关重要。如果您不这样做,则该线路可能由于某种原因而挂起,并且您将永远无法重新进入。或者,更糟糕的是,如果断开连接但设备无法正常结束会话,则下一个用户登录只会接管您的会话,而无需输入任何凭据,这不是完全安全的。

3.独立的管理网络

将管理接口放置在其他网络上的技巧是使主网络无法访问这些接口。对于某些设备,这比其他设备更容易。例如,在不进行任何路由的纯第2层交换机上,您所需要做的就是将管理交换虚拟接口(SVI)分配给位于管理网络中的VLAN。

!
interface vlan100
 ip address 10.1.1.100 255.255.255.0
!

请注意,即使这是默认设置,我也确实不喜欢将VLAN 1用于管理界面。 VLAN 1是中继接口上通常的默认本机VLAN。如果我的管理VLAN与本机VLAN相同,则管理接口可能会遭受VLAN跳跃攻击。这是一次艰苦的攻势,但避免接触仍然是一种好习惯。

在Cisco ASA防火墙上创建带外管理接口的最佳方法是使用单独的虚拟防火墙上下文进行管理。但是,在使用防火墙的情况下,您还可以利用对访问控制列表(ACL)的更大控制来简单地阻止管理流量(SNMP,Telnet,SSH)使用主网络中的接口。

ACL场’这是一个完美的解决方案,因为防火墙的路由表同时包含到主网络和带外管理网络的路由。因此,在某些情况下’很难将管理流量与生产网络分开。

对于路由器,理想的解决方案是将管理网络置于不同的虚拟路由转发(VRF)实例中。为此所需的确切配置取决于设备类型。在Cisco Nexus设备上,它看起来像这样:

!
interface mgmt0
  ip address 10.1.1.2/24
!
vrf context management
  ip route 0.0.0.0/0 10.1.1.1
!

这种配置的隐含事实是,所有其他接口都将与默认接口或某些其他VRF相关联。

在路由器中配置多个VRF只是意味着它具有多个路由表。在与一个VRF关联的第3层接口(或VLAN接口)上接收到的数据包将根据该VRF的路由表进行路由。因此,在管理VRF中创建管理接口可以有效地将其流量隔离到该单独的管理网络。

在支持VRF配置(取决于功能集)的IOS设备上,可以将接口FastEthernet0 / 0配置为单独VRF中的管理接口,如下所示:

!
ip vrf management
 rd 100:1
!
interface FastEthernet0/0
  ip address 10.1.1.2 255.255.255.0
  ip vrf forwarding management
!
ip route vrf management 0.0.0.0 255.255.255.0 10.1.1.1
!

如果您的IOS设备不接受这些命令,则说明您没有VRF-lite或MPLS功能集。在那种情况下,要通过LAN接口启用带外管理,将非常需要设置非常仔细的ACL,并可能还需要一些策略路由。