Users Guide
配置安全功能
321
IP 筛选原则
启用 IP 筛选时应遵循以下原则:
•
确保
cfgRacTuneIpRangeMask
配置为网络掩码的形式,所有的高位为
1
(定义掩码中的子网), 在 低位都变为
0
。
•
用所要的范围基础地址作为
cfgRacTuneIpRangeAddr
的值。此地址的
32
位二进制值应将掩码中为零的所有低位都设为零。
IP 阻塞
IP 阻塞动态确定来自特定 IP 地址的额外登录失败,并阻塞 (或防止)该
地址在预选的时间长度内登录 iDRAC6。
IP 阻塞参数使用 cfgRacTuning 组功能,其中包括:
•
允许的登录失败次数
•
按秒计算的必须出现这些失败的时间范围
•
在超过允许失败总数后阻止有问题的
IP
地址建立会话的时间 (秒)
随着特定 IP 地址的登录失败次数不断累积,这些值会由内部计数器增
加。当用户成功登录后,失败历史记录就会清除并且内部计数器将重设。
注 :
如果客户端 IP 地址的登录尝试遭到拒绝,有些 SSH 客户端会显示以下
信息:“ssh exchange identification: Connection closed by
remote host.”( ssh exchange 标识:连接被远程主机关闭。)
有关 cfgRacTuning
属性的完整列表,请参阅 Dell 支持网站
dell.com/support/manuals 上的 《适用于 iDRAC6 和 CMC 的 RACADM
命令行参考指南》。
表 22-12 列出了用户定义的参数。
表 22-12. 登录重试限制属性
属性 定义
cfgRacTuneIpBlkEnable
启用 IP 阻塞功能。
如果在一段时间内 (cfgRacTuneIpBlkFailWindow)
某 IP 地址出现连续的失败
(cfgRacTuneIpBlkFailCount),则在一段时间内
(cfgRacTuneIpBlkPenaltyTime) 来自该地址的其它
建立会话尝试都会遭到拒绝。
cfgRacTuneIpBlkFailCount
设置拒绝某 IP 地址的登录尝试前允许的登录失败
次数。