Настройка выделенного интерфейса управления (OOB)
Настройка выделенного интерфейса управления (OOB)
Выделенный интерфейс управления OOB (Out‑Of‑Band) предоставляет доступ к коммутатору через аппаратно изолированный порт mgt‑eth, независимый от производственной сети. Он используется для удалённого управления, аварийного доступа и повышения безопасности инфраструктуры.
Необходимые условия и предварительные требования
- Подключение MGMT‑порта (
mgt‑eth 0/0/0) к выделенной OOB‑сети. - Наличие пользователя из группы administrators.
Ограничения
- MGMT‑порт является физически выделенным и не поддерживает VLAN.
- В режиме без VRF - MGMT-порт использует системную таблицу маршрутизации.
- В VRF‑режиме - маршруты и IP назначаются внутри vpn‑instance.
Назначение команд конфигурации
| Команда | Режим | Назначение |
|---|---|---|
| ip vpn-instance | Global config | Создание VRF (vpn‑instance) для изоляции плоскости управления. |
| ip binding vpn-instance | Interface config | Привязка интерфейса к VRF. |
| ip route-static vpn-instance | Global config | Добавление статического маршрута внутри VRF. |
| management acl enable A.B.C.D/M | Global config | Разрешение доступа к сервисам управления с указанного адресного диапазона. |
| no management acl A.B.C.D/M | Global config | Удаление адреса/подсети из списка разрешений. |
| management acl disable | Global config | Отключение ACL контроля доступа к управлению. |
Пример конфигурирования
Три варианта:
1 - базовый (без VRF)
2 - продвинутый (с VRF)
3 - настройка ACL управления
1. Настройка параметров MGMT‑порта (без VRF)
Switch#configure
Switch(config)#interface mgt-eth 0/0/0
Switch(config-mgt-eth-0/0/0)#ip address 10.10.10.10/24
Switch(config-mgt-eth-0/0/0)#no shutdown
Switch(config-mgt-eth-0/0/0)#exit
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1
2. Настройка VRF для OOB
Switch#configure
Switch(config)#ip vpn-instance OOB-MGMT
Switch(config-vpn-instance-OOB-MGMT)#exit
Switch(config)#interface mgt-eth 0/0/0
Switch(config-mgt-eth-0/0/0)# p address 10.10.10.10/24
Switch(config-mgt-eth-0/0/0)#ip binding vpn-instance OOB-MGMT
Switch(config-mgt-eth-0/0/0)#no shutdown
Switch(config-mgt-eth-0/0/0)#exit
Switch(config)#ip route-static vpn-instance OOB-MGMT 0.0.0.0 0.0.0.0 10.10.10.1
3. Настройка ACL для управления
Разрешение доступа только из 172.16.100.0/24:
Switch(config)#management acl enable 172.16.100.0/24
Добавление отдельного IP:
Switch(config)#management acl enable 10.0.0.5/32
Удаление записи:
Switch(config)#no management acl 10.0.0.5/32
Отключение фильтрации:
Switch(config)#management acl disable
Полный вывод выполненных конфигураций
Без VRF
configure
interface mgt-eth 0/0/0
ip address 10.10.10.10/24
ip route 0.0.0.0/0 10.10.10.1
sshd
management acl enable 10.10.10.0/24
end
С VRF
configure
ip vpn-instance OOB-MGMT
interface mgt-eth 0/0/0
ip binding vpn-instance OOB-MGMT
ip address 10.10.10.10/24
!
ip route-static vpn-instance OOB-MGMT 0.0.0.0/0 10.10.10.1
sshd
management acl enable 10.10.10.0/24
end
Изучение состояния устройства
Просмотр конфигурации
Глобальная конфигурация
Switch#show running-config
!Device running configuration:
!version V1.0.2
!2025/12/10 09:53:28
!
hostname Switch
!
sshd
!
ip vpn-instance OOB-MGMT
!
interface mgt-eth 0/0/0
ip vpn-instance OOB-MGMT
ip address 10.10.10.1/24
Рекомендации выполнения команд/настроек
- Используйте выделенную OOB‑сеть для MGMT‑порта и не подключайте его к рабочим VLAN.
- При необходимости изолировать управление применяйте VRF.
- Ограничивайте доступ к управлению через
management acl, разрешая только доверенные адреса.