プライマリインターフェースアクセスコントロールリスト
プライマリーインターフェースACLサービスは、すべての機器で有効なプライマリーインターフェースへのアクセスを許可(経路フィルタリング用語ではALLOW)する1つまたは複数のIPアドレスブロックを入力することができます。ソフトウェアスタックやOSS/BSSの主要コンポーネント、仮想機器からクラウドやその他の宛先までの「パケットウォーク」についてもカバーしています。
このACLは、他のよく知られたネットワークデバイスのACLと同様に伝統的な方法で動作します。場合は、常に少なくとも1つのIPアドレスブロックを持つ必要があります。
- SSHやWeb GUIなどで機器に直接アクセスを想定している場合。
- お使いのデバイスが、SaaSやその他のソフトウェアパッケージ、またはSD-WANデバイスのようなサードパーティソフトウェアによって制御や管理されている場合。ベンダのガイダンスでは、どのアドレスが必要かを示しているはずです。
- デバイスへのトラフィックはすべてパブリックインターネットインターフェースを介して渡すつもりです。
- デバイスからパブリックインターネットを経由して遠隔地に向かうVPNトンネルを有効にしたい。
エクイニクスは自動的にデバイスへの基本的なアクセス権を取得しますが、少なくとも1つの許可アドレスブロックを有効にしないと、エクイニクスの業務外のお客様に対してこれらのアクションを実行できません。アドレスが入力されると、エクイニクスのオーケストレーションはこの許可リストを複数の場所で有効にします:
これには、以下が含まれますが、これらに限定されるものではありません。
- パブリックインターネット接続用ゲートウェイルーター上のインターフェイス
- GWルーターに面したラック上部のインターフェイス
- VNF上のプライマリまたはインターネットインタフェース
- トラブルシューティング、オペレーションツールの選択
プライマリインタフェース ACL サービスは、以下の属性を持つ。
| Values | Data Requirements | Notes | |
|---|---|---|---|
| Configure before launch | No/NA | ||
| Configure at launch: | Yes | On the Additional Services section of the new device. | |
| Configure during lifecycle: | Yes | On the Additional Services section of device details. | |
| Optional or Required | Optional | Might be required on some devices, see device profile or details for more information. | |
| IP Address | x.x.x.x/y | IPv4 address in numeric format; where X is min 0 and max 255, and y is min 1 and max 32 | The system blocks 0.0.0.0/0; system doesn’t validate or verify address blocks or ownership against an IRR at this time; can be public or private. |
| Device | UUID; Required | alphanumeric | On the portal, the device UUID is assumed based on the currently active device that user is viewing. |
| How many IP blocks per device | 50 | ||
| How many IP addresses per account | Unlimited | NA | |
| Max CIDR/Subnet size | None | /1 or smaller; system blocks /0 | |
| Reqd same on secondary? | No | Can have the same or different. |
このサービスを冗長ペアに追加する場合、セカンダリ機器に同じIPアドレスのセットを追加するかどうかを指定する必要があります。また、別のリストを指定することもできます。
エクイニクスはTACACsサーバーを維持し、SSHユーザーが許可リストに記載されたIPアドレスやインターネットバックボーンルーターからデバイスにアクセスできるようにしています。このサービスは、デバイスへのアクセスを許可するIPアドレスとサブネットをエクイニクスインフラストラクチャに通知します。このサービスは、SSHクライアントを使用する個人ユーザーだけでなく、デバイスを管理するサードパーティのソフトウェア、アプリケーション、またはオーケストレーションにも適用されます。このため、ユーザーがこのサービスを設定する必要がある場合があります:
- 外部のSaaSがアクセスを管理するSD-WAN装置。
- SSHインターフェースを通じてSNMPトラップを取得するネットワークパフォーマンスソフトウェアパッケージ
- このデバイスを制御するサードパーティのソフトウェアまたはオーケストレーション
- その他、可能なシナリオ
ブロックは50個に制限されていますが、サブネットを計上する際に必要であれば、ユーザーは効果的に多数の同時使用アドレスを入力することができます。システムはいくつかのエントリを制限します(「すべて許可」0/0エントリ、およびいくつかのプライベートアドレス空間など)。デバイスのライフサイクル中いつでも、ユーザーはこのリストに追加したり削除したりできます。
Saveをクリックすると、許可されたすべてのアドレスの設定がデバイスにプッシュされます。この中にアドレスの削除や変更が含まれる場合、そのアドレスに関連する人がデバイスにアクセスしようとすると、サービスが中断されます。
ユーザーアクセスサービスにリストされているすべてのユーザーは、このサービスにリストされているすべてのアドレスからデバイスにアクセスできます。エクイニクスでは、できるだけ小さなサブネットに、できるだけ少ない許可アドレスを追加することを推奨しています。デバイスにアクセスする必要がある人やシステムの発信元アドレスについては、企業のIT部門と相談してください。個人ユーザーは、whatsmyipのようなサービスを使用して、コンピュータまたは端末で設定するパブリックアドレスを特定できます。
エクイニクスは、入力されたIPサブネットの所有権をARINなどのレジストリで確認することはありません。これらのアドレスからのすべてのトラフィックは、お客様の責任において行われるものとします。