Users Guide
IP 筛选原则
启用 IP 筛选时应遵循以下原则:
l 确保 cfgRacTuneIpRangeMask 配置为网络掩码的形式,所有的高位为 1(定义掩码中的子网),在低位都变为 0。
l 用所要的范围基础地址作为 cfgRacTuneIpRangeAddr 的值。此地址的 32 位二进制值应将掩码中为零的所有低位都设为零。
IP 阻塞
IP 阻塞动态确定来自特定 IP 地址的额外登录失败,并阻塞(或防止)该地址在预选的时间长度内登录 iDRAC6。
IP 阻塞参数使用 cfgRacTuning 组功能,其中包括:
l 允许的登录失败次数
l 按秒计算的必须出现这些失败的时间范围
l 在超过允许失败总数后阻止
有问题的
IP 地址建立会话的时间(秒)
随着特定 IP 地址的登录失败次数不断累积,这些值会由内部计数器
增加
。当用户成功登录后,失败历史记录就会清除并且内部计数器将重设。
有关 cfgRacTuning 属性的完整列表,请参阅 Dell 支持网站 support.dell.com/manuals 上的《适用于 iDRAC6 和 CMC 的 RACADM 命令行参考指南》。
表22-12 列出了用户定义的参数。
表 22-12.登录重试限制属性
启用 IP 阻塞
以下示例显示,如果客户端在一分钟内超过五次登录尝试失败,将阻止该客户端 IP 地址建立会话五分钟。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 5
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindows 60
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 300
以下示例在一分钟内阻止三次以上的失败尝试,并阻止其它登录尝试一小时。
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 3
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindows 60
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 3600
使用 iDRAC6 GUI 配置网络安全设置
1. 在“ System”(系统)树中,单击“iDRAC Settings”(iDRAC 设置)。
注: 如果客户端 IP 地址的登录尝试遭到拒绝,有些 SSH 客户端会显示以下信息:“ssh exchange identification: Connection closed by remote host.”(ssh exchange
标识:连接被远程主机关闭。)
属性
定义
cfgRacTuneIpBlkEnable
启用 IP 阻塞功能。
如果在一段时间内 (cfgRacTuneIpBlkFailWindow) 某 IP 地址出现连续的失败 (cfgRacTuneIpBlkFailCount),则在一段时间内
(cfgRacTuneIpBlkPenaltyTime) 来自该地址的其它建立会话尝试都会遭到拒绝。
cfgRacTuneIpBlkFailCount
设置拒绝某 IP 地址的登录尝试前允许的登录失败次数。
cfgRacTuneIpBlkFailWindow
计算失败尝试次数的时间范围(秒)。当失败次数超出此限制,将不会记入计数器。
cfgRacTuneIpBlkPenaltyTime
定义来自失败次数过多的某 IP 地址的所有登录尝试被拒绝的时间长度(秒)。
注: 您必须具有“Configure iDRAC6”(配置 iDRAC6)权限才能执行以下步骤。