Lista de control de acceso a la interfaz primaria
El servicio ACL de interfaz primaria permite a los usuarios introducir uno o más bloques de direcciones IP que están permitidas (o ALLOW en el léxico de filtrado de rutas) para acceder a la interfaz primaria habilitada en todos los dispositivos. se cubren la pila de software y los principales componentes del OSS/BSS, así como el "paseo de paquetes" desde los dispositivos virtuales hasta la nube y otros destinos.
La ACL funciona de forma tradicional a otras ACL de dispositivos de red bien conocidas. Siempre debe tener al menos un bloque de direcciones IP si:
- Pretende acceder al dispositivo directamente mediante SSH, GUI web u otros medios.
- Su dispositivo está controlado y gestionado por SaaS o cualquier otro paquete de software o software de terceros, como con un dispositivo SD-WAN. La orientación del proveedor debe indicar qué direcciones son necesarias.
- Su intención es pasar cualquier tráfico al dispositivo a través de la interfaz pública de Internet.
- Desea habilitar túneles VPN desde el dispositivo a ubicaciones remotas a través de la Internet pública.
Equinix tiene automáticamente acceso básico al dispositivo, pero sin habilitar al menos un bloque de direcciones permitidas, estas acciones no funcionarán para los clientes fuera de las operaciones de Equinix. Una vez introducida una dirección, la orquestación de Equinix habilita esta lista de permitidas en varias ubicaciones:
Esto incluye, pero no se limita a:
- Interfaces en el router de la pasarela pública para el acceso público a Internet
- Interfaces de la parte superior del bastidor orientadas hacia los routers GW
- Interfaz primaria o de Internet en la VNF
- Seleccionar herramientas de resolución de problemas y operaciones
El servicio ACL de la interfaz primaria tiene los siguientes atributos:
| Values | Data Requirements | Notes | |
|---|---|---|---|
| Configure before launch | No/NA | ||
| Configure at launch: | Yes | On the Additional Services section of the new device. | |
| Configure during lifecycle: | Yes | On the Additional Services section of device details. | |
| Optional or Required | Optional | Might be required on some devices, see device profile or details for more information. | |
| IP Address | x.x.x.x/y | IPv4 address in numeric format; where X is min 0 and max 255, and y is min 1 and max 32 | The system blocks 0.0.0.0/0; system doesn’t validate or verify address blocks or ownership against an IRR at this time; can be public or private. |
| Device | UUID; Required | alphanumeric | On the portal, the device UUID is assumed based on the currently active device that user is viewing. |
| How many IP blocks per device | 50 | ||
| How many IP addresses per account | Unlimited | NA | |
| Max CIDR/Subnet size | None | /1 or smaller; system blocks /0 | |
| Reqd same on secondary? | No | Can have the same or different. |
Al añadir este servicio a un par redundante, debe especificar si desea que se añada el mismo conjunto de direcciones IP al dispositivo secundario. También puede especificar una lista diferente.
Equinix mantiene un servidor TACACs que permite a los usuarios de SSH acceder a los dispositivos desde las direcciones IP permitidas y desde los enrutadores troncales de Internet. Este servicio informa a la infraestructura de Equinix qué direcciones IP y subredes tienen permiso para acceder al dispositivo. Este servicio funciona tanto para usuarios individuales a través de un cliente SSH como para software, aplicaciones u orquestación de terceros que gestionen el dispositivo. Es por esta razón que un usuario puede necesitar configurar este servicio incluso si no tiene usuarios definidos, como por ejemplo:
- Un dispositivo SD-WAN en el que SaaS externo gestiona el acceso
- Un paquete de software de rendimiento de red que captura traps SNMP a través de la interfaz SSH
- Software de terceros u orquestación que controla este dispositivo
- Muchos otros escenarios posibles
Aunque los bloques están limitados a 50, el usuario puede introducir efectivamente un gran número de direcciones concurrentes si es necesario al contabilizar la subred. El sistema restringe algunas entradas (como una entrada "permitir todo" 0/0, y algún espacio de direcciones privadas). En cualquier momento durante el ciclo de vida del dispositivo, los usuarios pueden añadir o eliminar direcciones de esta lista.
Cuando se pulsa Guardar, la configuración de todas las direcciones permitidas se transfiere al dispositivo. Si se elimina o modifica una dirección, se interrumpe el servicio para cualquier persona asociada a esa dirección que intente acceder al dispositivo.
Todos los usuarios enumerados en el servicio Acceso de usuarios pueden acceder al dispositivo desde todas las direcciones enumeradas en este servicio. Equinix recomienda añadir el menor número posible de direcciones permitidas en una subred lo más pequeña posible. Los usuarios deben consultar con su organización de TI corporativa para determinar las direcciones de origen probables de aquellas personas o sistemas que necesitan acceder al dispositivo. Los usuarios individuales pueden utilizar un servicio como whatsmyip para determinar la dirección pública desde la que está configurando en su ordenador o terminal.
Equinix no valida la propiedad de las subredes IP introducidas con ningún registro como ARIN. Todo el tráfico procedente de estas direcciones es responsabilidad exclusiva del cliente.