问题概述及解决
问题描述
设置设备IP白名单为运维网段:172.16.80.0/24,但设备不支持子网掩码的配置选项,脑袋一抽,想当然的去掉了'/24';于是设备白名单成了172.16.80.0这个具体的IP;但是环境中是24位的网段,于是我成功的登不上设备了~~~
问题背景:1、设备管理口地址网段为:172.19.200.202/24;
2、运维网段为:172.16.80.0/24;
问题解决
需要设备:1、电脑
2、独立于原环境外的路由器(三层交换机)【有路由功能的设备即可】
3、console线
解决思路:1、电脑配置IP为172.16.80.0/16,网关配为172.16.80.1;
2、路由器配置0/0/1接口IP为 172.19.200.254 255.255.255.0,并划分接口到该接口;
配置0/0/2接口IP为 172.16.80.1 255.255.0.0,并划分接口到该接口;
3、设备和电脑分别接入上述路由自己网段对应的网口,各自路由没问题的话,便可以登录了。
问题发现及排查
问题发现
近期系统进行三级等保测评工作,按照测评反馈的问题清单,进行安全问题整改。其中网络部分有一个需要整改的问题便是:”未限制终端接入地址“。对于该问题的整改思路其实很明确——将登录源限制为运维网段【或是具体的某几台运维操作机】。登录设备,在设备的管理工具菜单中找到webUI白名单,尝试限制登录IP为运维网段172.16.X.0/24,但发现设备不支持’172.16.X.0/24‘的格式,脑袋一抽,想当然的去掉了'/24';于是设备白名单成了172.16.X.0这个具体的IP;但是环境中是24位的网段,于是我成功的登不上设备了~~~
问题解决
1、找一台空闲的路由器。
配置 接口0/0/1 IP 地址为 172.19.200.254 255.255.255.0,设备管理口接路由器的接口0/0/1。
配置 接口0/0/2 IP 地址为 172.16.80.1 255.255.0,笔记本网口接路由器的接口0/0/2。
<RT1>sys
Enter system view, return user view with Ctrl+Z.
[RT1]interface GigabitEthernet 0/0/1
[RT1-GigabitEthernet0/0/1]ip address 172.19.200.254 255.255.255.0
[RT1-GigabitEthernet0/0/1]interface GigabitEthernet 0/0/2
[RT1-GigabitEthernet0/0/2]ip address 172.16.80.1 255.255.0.0
2、配置笔记本IP为172.16.80.0/16,网关配为172.16.80.1;
3、如果路由没问题的话,如上操作后,应该可以连通并登录设备了。
然而遗憾的是,我的环境还是不通。因为我们在真实的生产环境中,设备到172.16.80.0/24网段的路由并不是通过172.19.200.254这个网关。而是通过172.10.1.254。
4、于是尝试通过console口登录设备,删除WeBUI的白名单。电话咨询厂家后,被告知:该设备的WeBUI的白名单被藏在一个神秘的数据库中,通过console登录设备并不能够将其删除。因该设备十分老旧(买了5年了,马上就过维保了),他们没有工程师能够来现场解决这个问题,唯一的解决办法是返厂通过刷机的方式清空设备配置。是的,没错的,他们说的是清空设备配置。呵呵。
5、【遗憾的是console后台的命令手册我也忘记跟厂家要了,之前给的文档只是页面管理的。不过如上这个情况,他们也未必找的到相应的手册。咨询他们工程师console的波特率是多少少,告诉我要么是115200,要么是38400,经过我尝试其实就是9600,呵呵!】自己挖的坑终究还是得想办法填;发扬不信邪的精神,还是通过console口登录设备,看一下有没有办法。
6、通过console登录设备后,发现第3步之所以不通,是因为设备里配置的到172.16.80.0的路由并不是通过网关172.19.200.254,且确实找不到那个神秘的白名单。删除并重新配置到172.16.80.0的路由,终于可以成功访问设备。
总结
1、回车和点确定前,一定要慎重!
2、门关了要仔细看看有没有窗户开着?窗户没开的话,看看玻璃敲掉是否可行。