Hibásan megadott IP címek javítása távolról
Tegyük fel, hogy van egy LAN hálózatunk, ahol a 10.10.0.0/24 IP cím tartományt használjuk, azonban egy eszközt valamiért hibásan konfiguráltuk fel és a 172.24.0.130/24 IP címet kapta (default gateway: 172.24.0.1), majd csatlakoztatták a hálózathoz. Szeretnénk ezt az eszközt lehetőleg úgy átkonfigurálni, hogy nem kell az adott eszközhöz fizikailag kimenni. Mit tehetünk?
Első eset
Tegyük fel, hogy van egy laptopunk, ami a hibásan felkonfigurált eszközzel egy LAN-ban van.
A hálókártya IP címét ehhez előbb statikusra kell állítani, majd:
A másodlagos IP címet elfogadva már el lehet érni az adott eszközt kényelmesen, a székünkből :).
Második eset
Azért ha van egy számítógépünk, ami ugyanabban a hálózatban van, mint a hibásan felkonfigurált eszköz, akkor nagy az esélye, hogy annyira nincs is messze tőlünk. Mi van akkor, ha a hibásan felkonfigurált eszköz egy hálózati switch, amit már be is kötöttek a hálózatba? Mivel rossz IP címet kapott, ezért nem elérhető. Az új switch és közöttünk egy route-olt hálózat van, így az első esetben használt trükk itt nem fog működni.
Azon a hálózati eszközön, amelyik az L3-as interface-el rendelkezik a switch management hálózatában - hasonlóan egy pc hálózati kártyájához - szintén beállítható egy másodlagos ip cím. Ezért azon a hálózati eszközön, ahol az új switch default gateway-e található, felvehetünk egy másodlagos IP címet. Például egy Cisco switchben:
ip address 10.10.0.1 255.255.255.0
ip address 172.24.0.1 255.255.255.0 secondary
A parancs kiadása után az adott hálózati eszközt a 172.24.0.130-as IP-n el lehet érni a switchből kiadott paranccsal, ssh-n:
Fontos 1: Ha a hibásan felkonfigurált eszközön van TACACS/RADIUS authentikáció beállítva, akkor az nem fog működni, ezért csak a lokálisan tárolt userrel lehet belépni.
Fontos 2: A másodlagos IP cím felvételét csak akkor fogja engedni az eszköz, ha nincs átfedésben egy meglévő hálózattal. Nem kell feltétlen a teljes /24-et felvenni; elég az a legkisebb tartomány, amibe még beletartozik a hibás IP cím.
Harmadik eset
A második esetben azért volt könnyű dolgunk, mert egy hálózati eszközről tovább tudtunk jelentkezni ssh-val, mivel a hálózati eszközökön van SSH kliens (a security eszközökben nem szokott lenni, biztonsági megfontolásból). Mit tehetünk, ha mondjuk egy hibásan felkonfigurált PC-ről van szó, amit sajnos nem fogunk tudni elérni közvetlenül egy hálózati eszközből. A második esethez hasonlóan itt is egy route-olt hálózat van, de sajnos a hálózati eszközök nem támogatják a VNC vagy az RDP protokollt, amivel a hibásan felkonfigurált számítógépet el lehetne érni.
A második esethez hasonlóan itt is fel kell venni egy másodlagos IP címet abban a hálózatban, ahol a hibásan felkonfigurált eszköz van.
ip address 10.10.0.1 255.255.255.0
ip address 172.24.0.1 255.255.255.0 secondary
Fontos 1: A másodlagos IP cím mindenképpen a hibásan beállított számítógép default gateway-e legyen!
Fel kell venni egy statikus host route-ot azon eszközön, amelyik a route-olást végzi. A statikus route next-hop az az eszköz legyen, ahova ezt a másodlagos IP címet felvettük. Például:
Ezt a static route-ot az adott routing protokoll-ba kell redisztributálni.
match tag 10
router ospf 1
redistribute static route-map STATIC-TO-OSPF
Fontos 2: Ez a redisztribúció csak ezt az egy host route-ot redisztributálja az OSPF-be. Az is működne, hogy a teljes tartományt egyszerűen megadjuk az OSPF-ben a következő paranccsal:
Azonban ezzel a kelleténél nagyobb hálózatot hirdetnénk be, amivel feleslegesen nagy kockázatot vállalunk.
Ezután a 172.24.0.130-as IP cím elérhető lesz az egész route-olt hálózatban, és az adott eszközt el lehet érni bármilyen protokollon keresztül.
Szeretnél többet tudni?
Vedd fel velünk a kapcsolatot az alábbi elérhetőségen:
- Maszárik-Seregi Dávid
Senior Systems Engineer
+36 30 160 3578
David.Maszarik@alef.com