主界面访问控制列表
主接口ACL服务使用户能够输入一个或多个允许(或路由过滤词典中的ALLOW)访问所有设备上启用的主接口的IP地址块。软件堆栈和OSS/BSS的主要组件,以及从虚拟设备到云和其他目的地的 "数据包行走 "都包括在内。
该ACL的操作方式与其他著名的网络设备ACL相同。你应该总是有至少一个IP地址块,如果。
- 你打算使用SSH、Web GUI或其他方式直接访问设备。
- 你的设备是由SaaS或任何其他软件包或第三方软件控制和管理的,如用SD-WAN设备。供应商的指导应该指出哪些地址是需要的。
- 你打算通过公共互联网接口向设备传递任何流量。
- 你想通过公共互联网启用从设备到远程地点的VPN隧道。
Equinix自动拥有该设备的基本访问权限,但如果不启用至少一个允许的地址块,这些操作将无法用于Equinix运营范围之外的客户。输入地址后, Equinix业务流程会在多个位置启用此允许列表:
这包括,但不限于。
- 公共网关路由器上用于公共互联网访问的接口
- 面向GW路由器的机架顶部接口
- VNF上的主要或互联网接口
- 选择故障排除和操作工具
主界面ACL服务具有以下属性。
| Values | Data Requirements | Notes | |
|---|---|---|---|
| Configure before launch | No/NA | ||
| Configure at launch: | Yes | On the Additional Services section of the new device. | |
| Configure during lifecycle: | Yes | On the Additional Services section of device details. | |
| Optional or Required | Optional | Might be required on some devices, see device profile or details for more information. | |
| IP Address | x.x.x.x/y | IPv4 address in numeric format; where X is min 0 and max 255, and y is min 1 and max 32 | The system blocks 0.0.0.0/0; system doesn’t validate or verify address blocks or ownership against an IRR at this time; can be public or private. |
| Device | UUID; Required | alphanumeric | On the portal, the device UUID is assumed based on the currently active device that user is viewing. |
| How many IP blocks per device | 50 | ||
| How many IP addresses per account | Unlimited | NA | |
| Max CIDR/Subnet size | None | /1 or smaller; system blocks /0 | |
| Reqd same on secondary? | No | Can have the same or different. |
当把这个服务添加到冗余对时,你必须指定是否要把同一组IP地址添加到辅助设备上。你也可以指定一个不同的列表。
Equinix 维护一个 TACACs 服务器,允许 SSH 用户从允许列出的 IP 地址以及互联网主干路由器访问设备。这项服务通知 Equinix 基础设施,哪些 IP 地址和子网被允许访问设备。此项服务既适用于通过 SSH 客户端的个人用户,也适用于管理设备的第三方软件、应用程序或协调程序。正是由于这个原因,用户可能需要配置这项服务,即使他们没有定义任何用户,例如。
- 一个SD-WAN设备,外部SaaS管理访问
- 一个网络性能软件包,通过SSH接口捕获SNMP陷阱
- 控制该设备的第三方软件或协调程序
- 许多其他可能的情况
虽然区块被限制在50个,但如果需要,用户在核算子网时可以有效地输入大量的并发地址。系统限制了一些条目(如 "允许所有 "0/0条目,以及一些私有地址空间)。在设备生命周期内的任何时候,用户都可以在这个列表中添加或删除。
点击“保存”后,所有允许地址的配置都会推送到设备。如果配置中包含移除或更改某个地址,则与该地址关联的任何用户尝试访问设备时,服务都会中断。
用户访问服务中列出的所有用户都可以从此服务中列出的所有地址访问设备。Equinix 建议您在尽可能小的子网中添加尽可能少的允许地址。用户应咨询其公司 IT 部门,以确定需要访问设备的人员或系统的可能来源地址。个人用户可以使用 whatsmyip 等服务来确定您在计算机或终端上配置的公共地址。
Equinix 不通过任何注册机构(如 ARIN)验证所输入的 IP 子网的所有权。来自这些地址的所有流量均由客户自行负责。