stobbertt
Goto Top

Ruckus ICX8200 WebUserInterface

Guten Morgen,
ich habe folgendes Problem. Von mir wurden mehrere Ruckus ICX8200 konfiguriert und diese verrichten auch einwandfrei Ihren Dienst. Das einzige was nicht so funktioniert wie ich mir das vorstelle, das ich das WebUserInterface nur über den Management Port erreiche, nicht direkt im Netzwerk.
Kann mir jemand eventuell helfen und sagen was ich genau einstellen muss, damit ich darauf auch von irgendwo im internen Netzwerk drauf zugreifen kann und nicht jedes mal vor Ort sein muss, um meinen Laptop mit dem MGM Port zu verbinden.
Ich weiß das es eine Menge an Dokumentation dazu gibt, aber diesen Punkt habe ich bisher noch nicht gefunden.

Wenn weitere Informationen benötigt werden, lasst es mich wissen.

Danke im voraus
Patrick

Content-ID: 41355803569

Url: https://administrator.de/contentid/41355803569

Ausgedruckt am: 21.11.2024 um 14:11 Uhr

Spirit-of-Eli
Spirit-of-Eli 16.05.2024 um 07:29:09 Uhr
Goto Top
Moin,

das möchte man eigentlich nicht.
Der Management Port ist extra ausgegliedert damit nicht jeder an den Switch heran kommt.

Ich würde an deiner Stelle lieber ein Out-of-Band Management in einem separaten Netz implementieren und den Zugriff per Firewall einschränken.

Gruß
Spirit
stobbertt
stobbertt 16.05.2024 um 13:27:24 Uhr
Goto Top
Das ganze soll über ein separates VLAN laufen. Ich habe einen Port als Interface einem VLAN mit passender IP zugewiesen und aktiviert. Komme trotzdem nicht raus, bzw. kann das Gerät auch so nicht erreichen.
aqui
Lösung aqui 17.05.2024, aktualisiert am 18.05.2024 um 14:48:34 Uhr
Goto Top
https://docs.ruckuswireless.com/fastiron/08.0.60/fastiron-08060-commandr ...

Wenn z.B. das separate Management VLAN die ID 99 hat:
vlan 99 name Management by port
 tagged ethe 1/2/1 to 1/2/2
 untagged ethe 1/1/1 
 spanning-tree
 management-vlan
 default-gateway  10.99.0.1 1
! 
stobbertt
stobbertt 21.05.2024 um 14:41:48 Uhr
Goto Top
Danke für den Hinweis, hat funktioniert.
aqui
Lösung aqui 21.05.2024 aktualisiert um 17:40:00 Uhr
Goto Top
Im Eifer des Gefechts ist etwas die Tatsache untergegangen das die o.a. Konfig eigentlich für ein Layer 2 only Image ("S" = Switching) gedacht ist.
Damit blockt man den Zugriff auf die zentrale Management IP des Switches mit L2 Image aus fremden VLANs. Ohne eine solche Management VLAN Deklaration könnte man problemlos bei passender IP aus allen VLANs auf die zentrale IP des L2 Switches zugreifen, was natürlich ein Sicherheitsrisiko wäre.

Der neue ICX 8200 kommt aber derzeit mit dem 10er Image ausschliesslich nur mit einem Layer 3 Image daher ("R" = Routing).
D.h. die obere Konfig sollte zumindestens in einem Layer 3 Setup mit ve Routing Interfaces nicht funktionieren!

Für das 10er ICX Image gibt es dafür das management access Kommando:
https://docs.commscope.com/bundle/fastiron-10010-managementguide/page/GU ...

Hier kannst du dann z.B. mit dem global Command
management access src-ip 10.99.0.0/24 allow telnet
dann den Management Zugang auf den ICX 8200 für Telnet nur aus dem 10.99.0.0/24er IP Netz erlauben.
Sorry für die evtl. Verwirrung!

Wenn es das denn war bitte nicht vergessen deinen Thread dann auch als erledigt zu schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
stobbertt
stobbertt 22.05.2024 um 06:41:29 Uhr
Goto Top
Verwirrt bin ich jetzt nicht mehr als vorher face-smile.
Es ist auf allen die neueste Software installiert und diese sind soweit konfiguriert das Sie als L2 laufen, soweit es die neue Software zulässt. Es wurde extra ein Management VLAN eingerichtet was nur dafür dient.
Werde mir die Dokumentation von Dir dazu aber nochmal durchlesen, Verbesserungspotential gibt es ja immer.
Das mit dem Zugang beschränken kannte ich noch nicht. Die Dokumentation erschlägt einen sowieso schon.

Danke nochmals
Gruß
Patrick
stobbertt
stobbertt 07.06.2024 um 06:59:18 Uhr
Goto Top
Wollte noch Danke sagen, die Hinweise haben mir geholfen das ganze vernünftig einzurichten.
Danke und ein schönes Wochenende.
Gruß
aqui
aqui 07.06.2024 um 15:36:07 Uhr
Goto Top
Immer gerne! 😊

Bitte nicht vergessen deinen Thread dann auch als erledigt zu markieren!
Wie kann ich einen Beitrag als gelöst markieren?