リモートDCの単一のCisco IOSデバイスで、OOB接続がラックに配信されています(Cat5eの長さは別のオンサイトプロバイダーラックから自分のラックにあり、建物から出入りするさまざまなルートがあります)。インターネットへのL3接続、/ 29が配信されます。
TelnetまたはSSHを介したVTYアクセスは、通常、アクセスリストによってオンネットデバイスに制限され、IPはネットワーク/ ASに対してローカルです。このリモートルータは、コアネットワークに戻る長距離イーサネット回線を備えたPoPにあります。OOB接続は、緊急時にオフネットデバイス(リンク切れ、IGPの停止など)によって使用され、接続は世界中のIPまたは自律システムから送信される可能性があります。
デバイスがOOB接続プロバイダーからのパブリックIPで構成されたOOBインターフェイスを使用して以下のように構成されていると理論付けた場合、
Interface Fa0/2
Descriptioc OOB Connection
ip address 5.5.5.1 255.255.255.248
!
line vty 0 4
access-class 10
!
access-list 10 remark ACL-ON-NET-MANAGEMENT-IPS
access-list 10 permit 10.0.0.0 0.0.0.255
私の質問は本当に重要な2つです。
デバイスでL3メルトダウンが発生し、IGPが崩壊または類似しているためにトラフィックをPoPからルーティングできないシナリオを処理するにはどうすればよいですか。ルーティングテーブルが空になり、ローカルに接続されたルートのみが含まれるようになりました。休暇中にホテルのWi-fiからOOB IPに接続した場合、IGPが崩壊してデバイスがピアを失った場合、トラフィックはリモートIPに戻るルートを持ちません。
OOBインターフェイスFa0 / 2をVRFに配置し、割り当てられた/ 29内のOOBプロバイダーゲートウェイアドレスを介して静的0/0ルートを追加できます。vtyステートメントを次のように変更できます。
access-class 10 in vrf-also
VRFインターフェイスからの管理アクセスを許可しますが、これは私のACLと競合します。ACLに0/0を追加して、ACLを持つポイントを削除する必要があります。ACLをそのまま維持できますが、OOBインターフェイスに接続するときに、どのIPも接続できるようにできますか?
おそらく、ルートマップを使用して、OOBインターフェイスから入ってくるトラフィックをそのゲートウェイ経由でルーティングする方法を教えてください。または、VRFを使用せず、メトリック254のデフォルトテーブルに0.0.0.0/0ルートを追加し、OOBインターフェイスにそのインターフェイスのIPからのTCP 22からのトラフィックのみを許可するアウトバウンドACLを追加します(したがって、SSH管理トラフィック)。そうすれば、管理トラフィックのみが許可されますか?ここにアイデアがあるので迷っています。