6
Ruckus ICX8200 WebUserInterface
Guten Morgen,
ich habe folgendes Problem. Von mir wurden mehrere Ruckus ICX8200 konfiguriert und diese verrichten auch einwandfrei Ihren Dienst. Das einzige was nicht so funktioniert wie ich mir das vorstelle, das ich das WebUserInterface nur über den Management Port erreiche, nicht direkt im Netzwerk.
Kann mir jemand eventuell helfen und sagen was ich genau einstellen muss, damit ich darauf auch von irgendwo im internen Netzwerk drauf zugreifen kann und nicht jedes mal vor Ort sein muss, um meinen Laptop mit dem MGM Port zu verbinden.
Ich weiß das es eine Menge an Dokumentation dazu gibt, aber diesen Punkt habe ich bisher noch nicht gefunden.
Wenn weitere Informationen benötigt werden, lasst es mich wissen.
Danke im voraus
Patrick
ich habe folgendes Problem. Von mir wurden mehrere Ruckus ICX8200 konfiguriert und diese verrichten auch einwandfrei Ihren Dienst. Das einzige was nicht so funktioniert wie ich mir das vorstelle, das ich das WebUserInterface nur über den Management Port erreiche, nicht direkt im Netzwerk.
Kann mir jemand eventuell helfen und sagen was ich genau einstellen muss, damit ich darauf auch von irgendwo im internen Netzwerk drauf zugreifen kann und nicht jedes mal vor Ort sein muss, um meinen Laptop mit dem MGM Port zu verbinden.
Ich weiß das es eine Menge an Dokumentation dazu gibt, aber diesen Punkt habe ich bisher noch nicht gefunden.
Wenn weitere Informationen benötigt werden, lasst es mich wissen.
Danke im voraus
Patrick
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 41355803569
Url: https://administrator.de/contentid/41355803569
Printed on: June 1, 2024 at 01:06 o'clock
6 Comments
Latest comment
Moin,
das möchte man eigentlich nicht.
Der Management Port ist extra ausgegliedert damit nicht jeder an den Switch heran kommt.
Ich würde an deiner Stelle lieber ein Out-of-Band Management in einem separaten Netz implementieren und den Zugriff per Firewall einschränken.
Gruß
Spirit
das möchte man eigentlich nicht.
Der Management Port ist extra ausgegliedert damit nicht jeder an den Switch heran kommt.
Ich würde an deiner Stelle lieber ein Out-of-Band Management in einem separaten Netz implementieren und den Zugriff per Firewall einschränken.
Gruß
Spirit
Das ganze soll über ein separates VLAN laufen. Ich habe einen Port als Interface einem VLAN mit passender IP zugewiesen und aktiviert. Komme trotzdem nicht raus, bzw. kann das Gerät auch so nicht erreichen.
https://docs.ruckuswireless.com/fastiron/08.0.60/fastiron-08060-commandr ...
Wenn z.B. das separate Management VLAN die ID 99 hat:
Wenn z.B. das separate Management VLAN die ID 99 hat:
vlan 99 name Management by port
tagged ethe 1/2/1 to 1/2/2
untagged ethe 1/1/1
spanning-tree
management-vlan
default-gateway 10.99.0.1 1
!
Danke für den Hinweis, hat funktioniert.
Im Eifer des Gefechts ist etwas die Tatsache untergegangen das die o.a. Konfig eigentlich für ein Layer 2 only Image ("S" = Switching) gedacht ist.
Damit blockt man den Zugriff auf die zentrale Management IP des Switches mit L2 Image aus fremden VLANs. Ohne eine solche Management VLAN Deklaration könnte man problemlos bei passender IP aus allen VLANs auf die zentrale IP des L2 Switches zugreifen, was natürlich ein Sicherheitsrisiko wäre.
Der neue ICX 8200 kommt aber derzeit mit dem 10er Image ausschliesslich nur mit einem Layer 3 Image daher ("R" = Routing).
D.h. die obere Konfig sollte zumindestens in einem Layer 3 Setup mit ve Routing Interfaces nicht funktionieren!
Für das 10er ICX Image gibt es dafür das management access Kommando:
https://docs.commscope.com/bundle/fastiron-10010-managementguide/page/GU ...
Hier kannst du dann z.B. mit dem global Command
management access src-ip 10.99.0.0/24 allow telnet
dann den Management Zugang auf den ICX 8200 für Telnet nur aus dem 10.99.0.0/24er IP Netz erlauben.
Sorry für die evtl. Verwirrung!
Wenn es das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
How can I mark a post as solved?
Damit blockt man den Zugriff auf die zentrale Management IP des Switches mit L2 Image aus fremden VLANs. Ohne eine solche Management VLAN Deklaration könnte man problemlos bei passender IP aus allen VLANs auf die zentrale IP des L2 Switches zugreifen, was natürlich ein Sicherheitsrisiko wäre.
Der neue ICX 8200 kommt aber derzeit mit dem 10er Image ausschliesslich nur mit einem Layer 3 Image daher ("R" = Routing).
D.h. die obere Konfig sollte zumindestens in einem Layer 3 Setup mit ve Routing Interfaces nicht funktionieren!
Für das 10er ICX Image gibt es dafür das management access Kommando:
https://docs.commscope.com/bundle/fastiron-10010-managementguide/page/GU ...
Hier kannst du dann z.B. mit dem global Command
management access src-ip 10.99.0.0/24 allow telnet
dann den Management Zugang auf den ICX 8200 für Telnet nur aus dem 10.99.0.0/24er IP Netz erlauben.
Sorry für die evtl. Verwirrung!
Wenn es das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
How can I mark a post as solved?
Verwirrt bin ich jetzt nicht mehr als vorher 
.
Es ist auf allen die neueste Software installiert und diese sind soweit konfiguriert das Sie als L2 laufen, soweit es die neue Software zulässt. Es wurde extra ein Management VLAN eingerichtet was nur dafür dient.
Werde mir die Dokumentation von Dir dazu aber nochmal durchlesen, Verbesserungspotential gibt es ja immer.
Das mit dem Zugang beschränken kannte ich noch nicht. Die Dokumentation erschlägt einen sowieso schon.
Danke nochmals
Gruß
Patrick
.Es ist auf allen die neueste Software installiert und diese sind soweit konfiguriert das Sie als L2 laufen, soweit es die neue Software zulässt. Es wurde extra ein Management VLAN eingerichtet was nur dafür dient.
Werde mir die Dokumentation von Dir dazu aber nochmal durchlesen, Verbesserungspotential gibt es ja immer.
Das mit dem Zugang beschränken kannte ich noch nicht. Die Dokumentation erschlägt einen sowieso schon.
Danke nochmals
Gruß
Patrick