Users Guide
以下是使用本地 RACADM 设置 IP 筛选的示例。
1. 以下 RACADM 命令会阻塞除 192.168.0.57 以外的所有 IP 地址:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
2. 要将登录限制到一小组四个相邻 IP 地址(例如,192.168.0.212 到 192.168.0.215),则选择掩码中除最低的两个位以外的所有位,如下所示:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
范围掩码的最后字节设置为 252,十进制数字为 11111100b。
IP 筛选原则
启用 IP 筛选时应遵循以下原则:
l 确保 cfgRacTuneIpRangeMask 以网络掩码的形式配置,所有的重要位为 1(定义掩码中的子网),在低位都变为 0。
l 使用所需范围的基地址作为 cfgRacTuneIpRangeAddr 的值。此地址的 32 位二进制值应将掩码中为零的所有低位都设为零。
配置 IP 阻塞
IP 阻塞可动态确定来自特定 IP 地址的登录失败次数何时过多,并阻塞(或防止)该地址在预选的时间长度内登录 iDRAC6。
IP 阻塞功能包括:
l 允许的登录失败次数 (cfgRacTuneIpBlkFailcount)
l 按秒计的这些失败必须发生的时间范围 (cfgRacTuneIpBlkFailWindow)
l 被阻塞 IP 地址在超过允许失败次数后不能建立会话的时间(秒)(cfgRacTuneIpBlkPenaltyTime)
随着特定 IP 地址的登录失败次数不断累积,这些值会由内部计数器“登记”。当用户成功登录后,失败历史记录就会清除并且内部计数器将重设。
有关 cfgRacTune 属性的完整列表,请参阅 Dell 支持网站 support.dell.com/manuals 上的《适用于 iDRAC 和 CMC 的 RACADM 命令行参考指南》。
表13-5 列出了用户定义的参数。
表 13-5.登录重试限制(IP 阻塞)属性
cfgRacTuneIpRangeAddr
根据子网掩码中的 1,确定可接受的 IP 地址位样式。
此属性是与 cfgRacTuneIpRangeMask 的按位
“与”
,确定所允许 IP 地址的高端。在高位包含此位样式的任何 IP 地址都允许登录。从此范围外
的 IP 地址登录都会失败。各个属性的默认值允许 192.168.1.0 到 192.168.1.255 范围的地址登录。
cfgRacTuneIpRangeMask
定义 IP 地址中的高位位置。掩码应采用网络掩码的格式,其中较高位全部为 1,较低位全部为零。
注:请参阅使用 RACADM 命令行界面了解有关 RACADM 和 RACADM 命令的详情。
注:如果客户端 IP 地址的登录尝试遭到拒绝,有些 SSH 客户端会显示以下信息:ssh exchange identification: Connection closed by remote host.(ssh exchange 标
识:连接被远程主机关闭)。
属性
定义
cfgRacTuneIpBlkEnable
启用 IP 阻塞功能。
如果在一段时间内 (cfgRacTuneIpBlkFailWindow) 一个 IP 地址出现连续的失败 (cfgRacTuneIpBlkFailCount),则在一段时间内
(cfgRacTuneIpBlkPenaltyTime) 来自该地址的所有其它建立会话的尝试都会遭到拒绝。
cfgRacTuneIpBlkFailCount
设置拒绝某 IP 地址的登录尝试前允许的登录失败次数。
cfgRacTuneIpBlkFailWindow
计算失败尝试次数的时间范围(秒)。当失败次数超出此限制时,将不会记入计数器。
cfgRacTuneIpBlkPenaltyTime
定义一个时间范围(以秒为单位),在该范围内拒绝失败次数过多的某个 IP 地址的登录尝试。