Cisco Ethernet Management Port Configuration

Cisco Ethernet Management Port Configuration 

Sıkıcı gibi görünen bir konu olsa da özellikle Veri Merkezi gibi ortamlarda yönetim tarafında "MGMT" portuna sahip bir Cisco Switch veya Router kullanmanın zaman tasarrufu sağlayabileceğini belirtmek isterim.

Özellikle IP tabanlı Veri merkezlerinde kesintiler yaşandığında, genellikle konsol kablosu aracılığıyla cihazlara erişim sağlamak zorunda kalırız. Bu tür durumlar için Out-Of-Band, Terminal Sunucuları vb. farklı çözümler geliştirilmiş olsa da, MGMT arayüzünü kullanmak başka projelerde de değerlendirilebilecek bir çözüm olabilir.


CİSCO 3650 MGMT İNTERFACE








Managament Port neden tercih edilebilir ? 

  • Özel bir VRF'de yönetim trafiğini birincil yönlendirme tablosundan ayırır,
  • 3650 , N3K vb. seri cihazlarda ön tarafta bulunan interfaceleri kullanmak zorunda kalmaz.

MGMT bağlantısının desteklediği özellikler ;

TFTP, Express Setup(Stack Switch), Telnet , SSH, DHCP(basic), SNMP(basic)

İnterface özellikleri ;

-Speed—10 Mb/s, 100 Mb/s, 1000 Mb/s, and autonegotiation

-Duplex mode—Full, half, and autonegotiation

-Loopback detection

-Cisco Discovery Protocol (CDP)

-DHCP relay agent

-IPv4 and IPv6 access control lists (ACLs)

-Routing protocols

Kendi senaryom üzerinde  kimlik doğrulama için yalnızca local database kullanılan ortam için yapılandırma örneği gerçekleştirilmiştir.

!

username networkadmin privilege 15 secret QazWsx
enable secret Qwerty
service password-encryption
aaa new-model
aaa authentication login default local-case
aaa local authentication attempts max-fail 10

!
ip domain-name kaanozdere.com
crypto key generate rsa modulus 2048
ip ssh version 2
ip ssh time-out 30
ip ssh logging events
ip ssh maxstartups 10
ip ssh authentication-retries 5
!

interface GigabitEthernet0/0
description MGMT-3650
vrf forwarding Mgmt-vrf
ip address 10.10.10.10 255.255.255.0
no shutdown
!
ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.10.10.254 name WS-3650-MGMT
!

ip access-list standard ACL-SSH
permit 10.10.10.0 0.0.0.255
!
line vty 0 4
access-class ACL-SSH in vrf-also (Erişimlerde ACL kısıtlaması kullanılıyorsa 'vrf-also' eklenmelidir.)
transport input ssh
!
line vty 5 15
access-class ACL-SSH in vrf-also
transport input ssh

Nexus serisi cihazlarda örnek yapılandırma ;

!
interface mgmt0
description MGMT-N3K
vrf member management
ip address 10.10.10.1/24
!
vrf context management
ip route 0.0.0.0/0 10.10.10.254

!
show ip route vrf managament

ping 10.10.10.254 source 10.10.10.1 vrf management


İlave olarak sisteminizde AAA kimlik doğrulama için Tacacs+ sunucuları kullanılıyor ise yapılandırma şu şekilde olmalıdır.

aaa group server tacacs+ TACACS
server-private <tacacs-server-IP> key <key-string>
ip vrf forwarding mgmtVrf
ip tacacs source-interface <management-interface>

!

aaa authentication login default group TACACS local
aaa authentication enable default group TACACS enable
aaa authorization console
aaa authorization exec default group TACACS local  if-authenticated
aaa authorization commands 15 default group TACACS local  if-authenticated
aaa accounting commands 1 default stop-only group TACACS
aaa accounting commands 15 default stop-only group TACACS
!
line vty 0 4
access-class ACL-SSH in vrf-also
login authentication TACACS
!
line vty 5 15
access-class ACL-SSH in vrf-also
login authentication TACACS

Yönetim ile ilgili tüm trafiğin MGMT(yönetim bağlantı noktası) tarafından kullanılmasını istersek bazı yapılandırma örneklerine dikkat etmemiz gerekecektir. Yapılandırma örneklerinde bazı kısımlar sabit kalırken bazı kısımlara ilave yapılması gerekmektedir. Ağ üzerinde NTP güncellemeleri, DNS sorguları ve  SYSLOG ayarları için belirli yapılandırma örnekleri ;

ip domain-name vrf mgmtVrf kaanozdere.com
ip name-server vrf mgmtVrf <dns-server-1-IP>

!
logging trap debugging
logging facility local6
logging host <syslog-server-IP> vrf mgmtVrf
!
snmp-server community <community-string> RO
<restricted-ACL-name/number>
snmp-server trap-source <management-interface>
snmp-server source-interface informs <management-interface>
snmp-server contact Networks
snmp-server host <snmp-poller-IP> vrf mgmtVrf
<community-string/username>  tty vtp config vlan-membership snmp

!
ntp source <management-interface>
ntp server vrf mgmtVrf <ntp-server-1-IP>