Liste de contrôle d'accès à l'interface primaire
Le service Primary Interface ACL permet aux utilisateurs de saisir un ou plusieurs blocs d'adresses IP qui sont autorisés (ou ALLOW dans le lexique du filtrage des routes) à accéder à l'interface primaire activée sur tous les appareils. La pile logicielle et les principaux composants de l'OSS/BSS, ainsi que la "marche des paquets" depuis les appareils virtuels vers le nuage et d'autres destinations sont couverts.
L'ACL fonctionne de la même manière que les autres ACL bien connues pour les périphériques de réseau. Vous devriez toujours avoir au moins un bloc d'adresses IP si :
- Vous avez l'intention d'accéder directement à l'appareil en utilisant SSH, l'interface graphique web ou d'autres moyens.
- Votre appareil est contrôlé et géré par SaaS ou tout autre progiciel ou logiciel tiers, comme dans le cas d'un appareil SD-WAN. Les conseils du fournisseur devraient indiquer quelles adresses sont nécessaires.
- Vous avez l'intention de faire passer tout le trafic vers l'appareil par l'interface internet publique.
- Vous souhaitez activer des tunnels VPN depuis l'appareil vers des sites distants via l'internet public.
Equinix dispose automatiquement d'un accès de base au dispositif, mais sans activer au moins un bloc d'adresses autorisées, ces actions ne fonctionneront pas pour les clients en dehors des opérations d'Equinix. Une fois l'adresse saisie, l'orchestration d'Equinix active cette liste d'autorisations à plusieurs endroits :
Cela inclut, mais n'est pas limité à :
- Interfaces sur le routeur de la passerelle publique pour l'accès public à l'internet
- Interfaces en haut du rack face aux routeurs GW
- Interface primaire ou internet sur le VNF
- Sélectionner les outils de dépannage et d'exploitation
Le service ACL de l'interface primaire possède les attributs suivants :
| Values | Data Requirements | Notes | |
|---|---|---|---|
| Configure before launch | No/NA | ||
| Configure at launch: | Yes | On the Additional Services section of the new device. | |
| Configure during lifecycle: | Yes | On the Additional Services section of device details. | |
| Optional or Required | Optional | Might be required on some devices, see device profile or details for more information. | |
| IP Address | x.x.x.x/y | IPv4 address in numeric format; where X is min 0 and max 255, and y is min 1 and max 32 | The system blocks 0.0.0.0/0; system doesn’t validate or verify address blocks or ownership against an IRR at this time; can be public or private. |
| Device | UUID; Required | alphanumeric | On the portal, the device UUID is assumed based on the currently active device that user is viewing. |
| How many IP blocks per device | 50 | ||
| How many IP addresses per account | Unlimited | NA | |
| Max CIDR/Subnet size | None | /1 or smaller; system blocks /0 | |
| Reqd same on secondary? | No | Can have the same or different. |
Lorsque vous ajoutez ce service à une paire redondante, vous devez spécifier si vous voulez que le même ensemble d'adresses IP soit ajouté à l'appareil secondaire. Vous pouvez également spécifier une liste différente.
Equinix gère un serveur TACACs qui permet aux utilisateurs SSH d'accéder aux dispositifs à partir d'adresses IP répertoriées et de routeurs dorsaux Internet. Ce service indique à l'infrastructure d'Equinix les adresses IP et les sous-réseaux autorisés à accéder au dispositif. Ce service fonctionne aussi bien pour les utilisateurs individuels via un client SSH que pour les logiciels, applications ou orchestrations tiers qui gèrent le dispositif. C'est pour cette raison qu'un utilisateur peut avoir besoin de configurer ce service même s'il n'a pas d'utilisateurs définis, par exemple :
- Un dispositif SD-WAN dont l'accès est géré par un SaaS externe
- Un logiciel de performance réseau qui capture les traps SNMP par l'intermédiaire de l'interface SSH.
- Logiciel tiers ou orchestration qui contrôle cet appareil
- De nombreux autres scénarios possibles
Bien que les blocs soient limités à 50, l'utilisateur peut effectivement saisir un grand nombre d'adresses simultanées si nécessaire lors de la comptabilisation du sous-réseau. Le système limite certaines entrées (telles que l'entrée "permit all" 0/0 et certains espaces d'adresses privés). À tout moment au cours du cycle de vie de l'appareil, les utilisateurs peuvent ajouter ou supprimer des éléments de cette liste.
Lorsque l'on clique sur Enregistrer, la configuration de toutes les adresses autorisées est transférée vers l'appareil. Si une adresse est supprimée ou modifiée, le service est interrompu pour toute personne associée à cette adresse qui tente d'accéder à l'appareil.
Tous les utilisateurs répertoriés dans le service User Access peuvent accéder au dispositif à partir de toutes les adresses répertoriées dans ce service. Equinix recommande d'ajouter le moins d'adresses autorisées possible dans un sous-réseau aussi petit que possible. Les utilisateurs doivent consulter le service informatique de leur entreprise pour déterminer les adresses d'origine probables des personnes ou des systèmes qui doivent accéder au dispositif. Les utilisateurs individuels peuvent utiliser un service tel que whatsmyip pour déterminer l'adresse publique à partir de laquelle vous effectuez la configuration sur votre ordinateur ou votre terminal.
Equinix ne valide pas la propriété des sous-réseaux IP saisis auprès d'un registre tel que l'ARIN. Tout le trafic provenant de ces adresses relève de la seule responsabilité du client.