Liste de contrôle d'accès à l'interface primaire
Le service Primary Interface ACL permet aux utilisateurs de saisir un ou plusieurs blocs d'adresses IP qui sont autorisés (ou ALLOW dans le lexique du filtrage des routes) à accéder à l'interface primaire activée sur tous les appareils. La pile logicielle et les principaux composants de l'OSS/BSS, ainsi que la "marche des paquets" depuis les appareils virtuels vers le nuage et d'autres destinations sont couverts.
La liste de contrôle d'accès fonctionne de la même manière que les autres listes de contrôle d'accès de périphériques réseau bien connues. Vous devriez toujours avoir au moins un bloc d'adresses IP si :
- Vous avez l'intention d'accéder directement à l'appareil en utilisant SSH, l'interface graphique Web ou d'autres moyens.
- Votre appareil est contrôlé et géré par SaaS ou tout autre progiciel ou logiciel tiers, comme avec un appareil SD-WAN. Les conseils du fournisseur devraient indiquer quelles adresses sont nécessaires.
- Vous avez l'intention de faire passer tout le trafic vers l'appareil par l'interface Internet publique.
- Vous voulez activer les tunnels VPN de l'appareil vers des sites distants via l'Internet public.
Equinix dispose automatiquement d'un accès de base à l'appareil, mais sans activer au moins un bloc d'adresses autorisées, ces actions ne fonctionneront pas pour les clients extérieurs à Equinix . Une fois l'adresse saisie, l'orchestration Equinix active cette liste d'adresses autorisées à plusieurs endroits:
Cela inclut, mais n'est pas limité à :
- Interfaces sur le routeur de la passerelle publique pour l'accès public à l'Internet.
- Interfaces du haut du rack faisant face aux routeurs GW
- Interface primaire ou internet sur VNF
- Sélectionner les outils de dépannage et d'exploitation
Le service ACL de l'interface primaire a les attributs suivants :
| Values | Data Requirements | Notes | |
|---|---|---|---|
| Configure before launch | No/NA | ||
| Configure at launch: | Yes | On the Additional Services section of the new device. | |
| Configure during lifecycle: | Yes | On the Additional Services section of device details. | |
| Optional or Required | Optional | Might be required on some devices, see device profile or details for more information. | |
| IP Address | x.x.x.x/y | IPv4 address in numeric format; where X is min 0 and max 255, and y is min 1 and max 32 | The system blocks 0.0.0.0/0; system doesn’t validate or verify address blocks or ownership against an IRR at this time; can be public or private. |
| Device | UUID; Required | alphanumeric | On the portal, the device UUID is assumed based on the currently active device that user is viewing. |
| How many IP blocks per device | 50 | ||
| How many IP addresses per account | Unlimited | NA | |
| Max CIDR/Subnet size | None | /1 or smaller; system blocks /0 | |
| Reqd same on secondary? | No | Can have the same or different. |
Lorsque vous ajoutez ce service à une paire redondante, vous devez préciser si vous souhaitez que le même ensemble d'adresses IP soit ajouté au périphérique secondaire. Vous pouvez également spécifier une liste différente.
Equinix maintient un serveur TACACs qui permet aux utilisateurs de SSH d'accéder aux périphériques à partir des adresses IP répertoriées et des routeurs de la dorsale Internet. Ce service indique à l'infrastructure d'Equinix quelles adresses IP et quels sous-réseaux sont autorisés à accéder au dispositif. Ce service fonctionne à la fois pour les utilisateurs individuels via un client SSH et pour les logiciels, applications ou orchestrations tiers qui gèrent le dispositif. C'est pour cette raison qu'un utilisateur peut avoir besoin de configurer ce service même s'il n'a pas d'utilisateurs définis, par exemple :
- Un dispositif SD-WAN où le SaaS externe gère l'accès
- Un logiciel de performance réseau qui capture les traps SNMP via l'interface SSH
- Logiciel tiers ou orchestration qui contrôle ce dispositif
- De nombreux autres scénarios possibles
Bien que les blocs soient limités à 50, l'utilisateur peut effectivement saisir un grand nombre d'adresses concurrentes si nécessaire lors de la comptabilisation du sous-réseau. Le système restreint certaines entrées (telles qu'une entrée 0/0 "permit all" et un espace d'adressage privé). À tout moment au cours du cycle de vie de l'appareil, les utilisateurs peuvent ajouter ou supprimer des entrées dans cette liste.
En cliquant sur « Enregistrer », la configuration de toutes les adresses autorisées est transférée vers l'appareil. Si cela implique la suppression ou la modification d'une adresse, le service est interrompu pour toute personne associée à cette adresse tentant d'accéder à l'appareil.
Tous les utilisateurs répertoriés dans le service d'accès utilisateur peuvent accéder à l'appareil depuis toutes les adresses répertoriées. Equinix recommande d'ajouter le moins d'adresses autorisées possible dans un sous-réseau aussi restreint que possible. Les utilisateurs doivent consulter le service informatique de leur entreprise pour déterminer les adresses d'origine probables des personnes ou des systèmes devant accéder à l'appareil. Les utilisateurs individuels peuvent utiliser un service comme whatsmyip pour déterminer l'adresse publique utilisée pour la configuration sur leur ordinateur ou terminal.
Equinix ne valide pas la propriété des sous-réseaux IP saisis auprès d'un registre tel que ARIN. Tout le trafic provenant de ces adresses est sous la seule responsabilité du client.