Настройка выделенного интерфейса управления (OOB)¶
Настройка выделенного интерфейса управления (OOB)¶
Выделенный интерфейс управления OOB (Out‑Of‑Band) предоставляет доступ к коммутатору через аппаратно изолированный порт mgt‑eth, независимый от производственной сети. Он используется для удалённого управления, аварийного доступа и повышения безопасности инфраструктуры.
Необходимые условия и предварительные требования¶
- Подключение MGMT‑порта (
mgt‑eth 0/0/0) к выделенной OOB‑сети. - Наличие пользователя из группы administrators.
Ограничения¶
- MGMT‑порт является физически выделенным и не поддерживает VLAN.
- В режиме без VRF - MGMT-порт использует системную таблицу маршрутизации.
- В VRF‑режиме - маршруты и IP назначаются внутри vpn‑instance.
Назначение команд конфигурации¶
| Команда | Режим | Назначение |
|---|---|---|
| ip vpn-instance | Global config | Создание VRF (vpn‑instance) для изоляции плоскости управления. |
| ip binding vpn-instance | Interface config | Привязка интерфейса к VRF. |
| ip route-static vpn-instance | Global config | Добавление статического маршрута внутри VRF. |
| management acl enable A.B.C.D/M | Global config | Разрешение доступа к сервисам управления с указанного адресного диапазона. |
| no management acl A.B.C.D/M | Global config | Удаление адреса/подсети из списка разрешений. |
| management acl disable | Global config | Отключение ACL контроля доступа к управлению. |
Пример конфигурирования¶
Три варианта:
1 - базовый (без VRF)
2 - продвинутый (с VRF)
3 - настройка ACL управления
1. Настройка параметров MGMT‑порта (без VRF)¶
Switch#configure
Switch(config)#interface mgt-eth 0/0/0
Switch(config-mgt-eth-0/0/0)#ip address 10.10.10.10/24
Switch(config-mgt-eth-0/0/0)#no shutdown
Switch(config-mgt-eth-0/0/0)#exit
Switch(config)#ip route 0.0.0.0 0.0.0.0 10.10.10.1
2. Настройка VRF для OOB¶
Switch#configure
Switch(config)#ip vpn-instance OOB-MGMT
Switch(config-vpn-instance-OOB-MGMT)#exit
Switch(config)#interface mgt-eth 0/0/0
Switch(config-mgt-eth-0/0/0)# p address 10.10.10.10/24
Switch(config-mgt-eth-0/0/0)#ip binding vpn-instance OOB-MGMT
Switch(config-mgt-eth-0/0/0)#no shutdown
Switch(config-mgt-eth-0/0/0)#exit
Switch(config)#ip route-static vpn-instance OOB-MGMT 0.0.0.0 0.0.0.0 10.10.10.1
3. Настройка ACL для управления¶
Разрешение доступа только из 172.16.100.0/24:
Добавление отдельного IP:
Удаление записи:
Отключение фильтрации:
Полный вывод выполненных конфигураций¶
Без VRF¶
configure
interface mgt-eth 0/0/0
ip address 10.10.10.10/24
ip route 0.0.0.0/0 10.10.10.1
sshd
management acl enable 10.10.10.0/24
end
С VRF¶
configure
ip vpn-instance OOB-MGMT
interface mgt-eth 0/0/0
ip binding vpn-instance OOB-MGMT
ip address 10.10.10.10/24
!
ip route-static vpn-instance OOB-MGMT 0.0.0.0/0 10.10.10.1
sshd
management acl enable 10.10.10.0/24
end
Изучение состояния устройства¶
Просмотр конфигурации¶
Глобальная конфигурация¶
Switch#show running-config
!Device running configuration:
!version V1.0.2
!2025/12/10 09:53:28
!
hostname Switch
!
sshd
!
ip vpn-instance OOB-MGMT
!
interface mgt-eth 0/0/0
ip vpn-instance OOB-MGMT
ip address 10.10.10.1/24
Рекомендации выполнения команд/настроек¶
- Используйте выделенную OOB‑сеть для MGMT‑порта и не подключайте его к рабочим VLAN.
- При необходимости изолировать управление применяйте VRF.
- Ограничивайте доступ к управлению через
management acl, разрешая только доверенные адреса.