Tegyük fel, hogy van egy LAN hálózatunk, ahol a 10.10.0.0/24 IP cím tartományt használjuk, azonban egy eszközt valamiért hibásan konfiguráltuk fel és a 172.24.0.130/24 IP címet kapta (default gateway: 172.24.0.1), majd csatlakoztatták a hálózathoz. Szeretnénk ezt az eszközt lehetőleg úgy átkonfigurálni, hogy nem kell az adott eszközhöz fizikailag kimenni. Mit tehetünk?
Hibásan megadott IP címek javítása távolról

Első eset
Tegyük fel, hogy van egy laptopunk, ami a hibásan felkonfigurált eszközzel egy LAN-ban van.
A hálókártya IP címét ehhez előbb statikusra kell állítani, majd:
A másodlagos IP címet elfogadva már el lehet érni az adott eszközt kényelmesen, a székünkből :).
Második eset
Azért ha van egy számítógépünk, ami ugyanabban a hálózatban van, mint a hibásan felkonfigurált eszköz, akkor nagy az esélye, hogy annyira nincs is messze tőlünk. Mi van akkor, ha a hibásan felkonfigurált eszköz egy hálózati switch, amit már be is kötöttek a hálózatba? Mivel rossz IP címet kapott, ezért nem elérhető. Az új switch és közöttünk egy route-olt hálózat van, így az első esetben használt trükk itt nem fog működni.
Azon a hálózati eszközön, amelyik az L3-as interface-el rendelkezik a switch management hálózatában - hasonlóan egy pc hálózati kártyájához - szintén beállítható egy másodlagos ip cím. Ezért azon a hálózati eszközön, ahol az új switch default gateway-e található, felvehetünk egy másodlagos IP címet. Például egy Cisco switchben:
ip address 10.10.0.1 255.255.255.0
ip address 172.24.0.1 255.255.255.0 secondary
A parancs kiadása után az adott hálózati eszközt a 172.24.0.130-as IP-n el lehet érni a switchből kiadott paranccsal, ssh-n:
Fontos 1: Ha a hibásan felkonfigurált eszközön van TACACS/RADIUS authentikáció beállítva, akkor az nem fog működni, ezért csak a lokálisan tárolt userrel lehet belépni.
Fontos 2: A másodlagos IP cím felvételét csak akkor fogja engedni az eszköz, ha nincs átfedésben egy meglévő hálózattal. Nem kell feltétlen a teljes /24-et felvenni; elég az a legkisebb tartomány, amibe még beletartozik a hibás IP cím.
Harmadik eset
A második esetben azért volt könnyű dolgunk, mert egy hálózati eszközről tovább tudtunk jelentkezni ssh-val, mivel a hálózati eszközökön van SSH kliens (a security eszközökben nem szokott lenni, biztonsági megfontolásból). Mit tehetünk, ha mondjuk egy hibásan felkonfigurált PC-ről van szó, amit sajnos nem fogunk tudni elérni közvetlenül egy hálózati eszközből. A második esethez hasonlóan itt is egy route-olt hálózat van, de sajnos a hálózati eszközök nem támogatják a VNC vagy az RDP protokollt, amivel a hibásan felkonfigurált számítógépet el lehetne érni.
A második esethez hasonlóan itt is fel kell venni egy másodlagos IP címet abban a hálózatban, ahol a hibásan felkonfigurált eszköz van.
ip address 10.10.0.1 255.255.255.0
ip address 172.24.0.1 255.255.255.0 secondary
Fontos 1: A másodlagos IP cím mindenképpen a hibásan beállított számítógép default gateway-e legyen!
Fel kell venni egy statikus host route-ot azon eszközön, amelyik a route-olást végzi. A statikus route next-hop az az eszköz legyen, ahova ezt a másodlagos IP címet felvettük. Például:
Ezt a static route-ot az adott routing protokoll-ba kell redisztributálni.
match tag 10
router ospf 1
redistribute static route-map STATIC-TO-OSPF
Fontos 2: Ez a redisztribúció csak ezt az egy host route-ot redisztributálja az OSPF-be. Az is működne, hogy a teljes tartományt egyszerűen megadjuk az OSPF-ben a következő paranccsal:
Azonban ezzel a kelleténél nagyobb hálózatot hirdetnénk be, amivel feleslegesen nagy kockázatot vállalunk.
Ezután a 172.24.0.130-as IP cím elérhető lesz az egész route-olt hálózatban, és az adott eszközt el lehet érni bármilyen protokollon keresztül.
Szeretnél többet tudni?
Vedd fel velünk a kapcsolatot az alábbi elérhetőségen:
- Maszárik-Seregi Dávid
Senior Systems Engineer
+36 30 160 3578
David.Maszarik@alef.com

Maszárik-Seregi Dávid
Senior Systems Engineer
david.maszarik@alef.com