Users Guide
请参阅“使用 RACADM”了解有关 RACADM 和 RACADM 命令的详情。
要将登录限制到一个 IP 地址(例如,192.168.0.57),则使用全掩码,如下所示。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
要将登录限制到一小组四个相邻 IP 地址(例如,192.168.0.212 到 192.168.0.215),则在掩码中除最低的两个位以外选中所有位,如下所示:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
IP 筛选原则
启用 IP 筛选时应遵循以下原则:
l 确保 cfgRacTuneIpRangeMask 配置为网络掩码的形式,所有的重要位为 1(定义掩码中的子网),在低位都变为 0。
l 使用所需范围的基地址作为 cfgRacTuneIpRangeAddr 的值。此地址的 32 位二进制值应将掩码中为零的所有低位都设为零。
IP 阻塞
IP 阻塞动态确定来自特定 IP 地址的额外登录失败,并阻塞(或防止)该地址在预选的时间长度内登录 DRAC 5。
IP 阻塞参数使用 cfgRacTuning 组功能,其中包括:
l 允许的登录失败次数 ("cfgRacTuneIpBlkFailcount")
l 按秒计算的必须出现这些失败的时间范围 ("cfgRacTuneIpBlkFailWindow")
l 阻止“有问题”IP 地址在超过允许失败总数后不能建立会话的时间(秒)("cfgRacTuneIpBlkPenaltyTime")
随着特定 IP 地址的登录失败次数不断累积,这些值会由内部计数器“增加”。当用户成功登录后,失败历史记录就会清除并且内部计数器将重设。
请参阅“DRAC 5 属性数据库组和对象定义”查看 cfgRacTune 属性的完整列表。
表3-8 列出了用户定义的参数。
注: 以下 RACADM 命令会阻塞除 192.168.0.57 以外的所有 IP
地址
注: 如果客户端 IP 地址的登录尝试遭到拒绝,有些 SSH 客户端会显示以下信息:ssh exchange identification: Connection closed by remote host.(ssh exchange
标识:连接被远程主机关闭。)