Lista de controle de acesso à interface primária
O serviço de ACL de interface primária permite que os usuários insiram um ou mais blocos de endereços IP com permissão (ou ALLOW no léxico de filtragem de rotas) para acessar a interface primária habilitada em todos os dispositivos. pilha de software e os principais componentes do OSS/BSS, bem como a "caminhada de pacotes" de dispositivos virtuais para a nuvem e outros destinos.
A ACL opera de maneira tradicional em relação a outras ACLs de dispositivos de rede bem conhecidas. Você sempre deve ter pelo menos um bloco de endereços IP se:
- Você pretende acessar o dispositivo diretamente usando SSH, GUI da Web ou outros meios.
- Seu dispositivo é controlado e gerenciado por SaaS ou qualquer outro pacote de software ou software de terceiros, como um dispositivo SD-WAN. A orientação do fornecedor deve indicar quais endereços são necessários.
- Você pretende passar qualquer tráfego para o dispositivo através da interface pública da Internet.
- Você deseja ativar os túneis VPN do dispositivo para locais remotos pela Internet pública.
A Equinix tem acesso básico ao dispositivo automaticamente, mas sem habilitar pelo menos um bloco de endereços permitidos, essas ações não funcionarão para clientes fora das operações da Equinix . Após a inserção de um endereço, a orquestração da Equinix habilita esta lista de permissões em vários locais:
Isso inclui, mas não se limita a:
- Interfaces no roteador de gateway público para acesso público à Internet
- Topo das interfaces de rack de frente para os roteadores GW
- Interface primária ou de Internet na VNF
- Selecionar ferramentas de solução de problemas e operações
A interface primária do serviço ACL tem os seguintes atributos:
| Values | Data Requirements | Notes | |
|---|---|---|---|
| Configure before launch | No/NA | ||
| Configure at launch: | Yes | On the Additional Services section of the new device. | |
| Configure during lifecycle: | Yes | On the Additional Services section of device details. | |
| Optional or Required | Optional | Might be required on some devices, see device profile or details for more information. | |
| IP Address | x.x.x.x/y | IPv4 address in numeric format; where X is min 0 and max 255, and y is min 1 and max 32 | The system blocks 0.0.0.0/0; system doesn’t validate or verify address blocks or ownership against an IRR at this time; can be public or private. |
| Device | UUID; Required | alphanumeric | On the portal, the device UUID is assumed based on the currently active device that user is viewing. |
| How many IP blocks per device | 50 | ||
| How many IP addresses per account | Unlimited | NA | |
| Max CIDR/Subnet size | None | /1 or smaller; system blocks /0 | |
| Reqd same on secondary? | No | Can have the same or different. |
Ao adicionar esse serviço a um par redundante, você deve especificar se deseja que o mesmo conjunto de endereços IP seja adicionado ao dispositivo secundário. Você também pode especificar uma lista diferente.
A Equinix mantém um servidor TACACs que permite que os usuários de SSH acessem dispositivos a partir de endereços IP listados e de roteadores de backbone da Internet. Esse serviço informa à infraestrutura da Equinix quais endereços IP e sub-redes têm permissão para acessar o dispositivo. Esse serviço funciona tanto para usuários individuais por meio de um cliente SSH quanto para software, aplicativos ou orquestração de terceiros que gerenciam o dispositivo. É por esse motivo que um usuário pode precisar configurar esse serviço mesmo que não tenha usuários definidos, como:
- Um dispositivo SD-WAN onde SaaS externo gerencia o acesso
- Um pacote de software de desempenho de rede que captura traps de SNMP por meio da interface SSH
- Software ou orquestração de terceiros que controla este dispositivo
- Muitos outros cenários possíveis
Embora os blocos sejam limitados a 50, o usuário pode inserir efetivamente um grande número de endereços simultâneos, se necessário, ao contabilizar a sub-rede. O sistema restringe algumas entradas (como uma entrada "allow all" 0/0 e algum espaço de endereço privado). A qualquer momento durante o ciclo de vida do dispositivo, os usuários podem adicionar ou remover itens dessa lista.
Ao clicar em Salvar, a configuração de todos os endereços permitidos é enviada ao dispositivo. Se isso incluir a remoção ou alteração de um endereço, o serviço será interrompido para qualquer pessoa associada a esse endereço que tentar acesso o dispositivo.
Todos os usuários listados no serviço de Acesso de Usuário podem acesso o dispositivo de todos os endereços listados neste serviço. A Equinix recomenda que você adicione o menor número possível de endereços permitidos em uma sub-rede o mais compacta possível. Os usuários devem consultar sua organização de TI corporativa para determinar os prováveis endereços de origem das pessoas ou sistemas que precisam acesso o dispositivo. usuários individuais podem usar um serviço como o whatsmyip para determinar o endereço público que você está configurando em seu computador ou terminal.
A Equinix não valida a propriedade das sub-redes de IP inseridas com nenhum registro, como o ARIN. Todo o tráfego proveniente desses endereços é de responsabilidade exclusiva do cliente.