Si la connexion de l'interface de périphérique ne réussit pas et la connexion SSH au périphérique échoue, utilisez la fonction Service-Manage

17 0 0 0

Vous avez peut-être rencontré des problèmes de ce type: vous avez ajouté les interfaces aux zones de sécurité, configuré la stratégie de sécurité sur la zone locale et vérifié la route, mais vous ne parvenez toujours pas à effectuer un ping via l'adresse de l'interface du périphérique ni à vous connecter au périphérique via SSH.

Si vous avez rencontré ce problème, Dr. WoW suppose que vous avez peut-être mal configuré la fonction de gestion de service.

Quoi? Quelle est la fonction de gestion de service? Vous n'en avez jamais entendu parler?

Ne t'inquiète pas. Dr. WoW est ici pour l'expliquer.

Description de la fonction

La fonction de gestion de service contrôle les paquets de protocole de gestion accédant au périphérique. Les commandes de configuration incluent:

  • [ undo service-manage enable : active / désactive la fonction de contrôle d'accès d'interface.
  • service-manage { http | https | ping | ssh | snmp | telnet } { permit | deny }: configure l'autorisation d'accès de chaque paquet du protocole de gestion sur l'interface.

S'il vous plaît rappelez-vous les conclusions suivantes:

  • La fonction de gestion de service prend effet préférentiellement sur le filtrage de paquets. En d’autres termes, lorsque la fonction de gestion de service est activée sur l’interface, le périphérique détermine s’il convient ou non d’autoriser un paquet en fonction de la configuration de gestion de service. Si la fonction de gestion de service est désactivée sur l'interface (validation de gestion de service d'annulation), le périphérique détermine s'il faut autoriser le passage d'un paquet en fonction du résultat du filtrage de paquet.
  • La fonction de gestion de service, en tant que type de méthode de contrôle de porte, bloque les paquets du protocole de gestion qui ne sont pas autorisés à accéder au périphérique. Cependant, cette commande de porte ne s'applique qu'aux paquets qui accèdent au périphérique à partir de cette interface. Pour les paquets qui accèdent au périphérique à partir d'autres interfaces, cette commande de porte n'est pas efficace. Comme le montre la figure 1-1 , envoyez une requête ping à l'adresse IP de Interface2 à partir de Interface1.L'interface entrante du paquet est Interface1 et l' autorisation de gestion de service de ping est configurée sur Interface1. Par conséquent, l'opération ping réussit. Envoyez une requête ping à l'adresse IP de Interface1 à partir de Interface2. L'interface entrante du paquet est Interface2, mais le refus de ping de gestion de service est configuré sur Interface2. Par conséquent, l'opération ping échoue. En conclusion, la fonction de gestion de service doit être configurée sur l'interface de paquets entrante, pas sur l'interface de destination .

Figure 1-1 Schéma de principe de la fonction de gestion de service

Différences de version

Version             La description
USG2000 / 5000 V300R001Port de gestion (GE 0/0/0): la fonction de gestion de service est activée par défaut et les autorisations HTTP, HTTPS, Telnet, Ping, SSH et SNMP sont configurées. Aucune stratégie de sécurité n'est requise pour l'accès au périphérique via le port de gestion. Port de non-gestion (y compris les interfaces logiques, VLANIF et VT): la fonction de gestion de service est désactivée. Pour gérer le périphérique via un port non géré, configurez une stratégie de sécurité des autorisations de la zone de sécurité du port non géré à la zone Locale ou activez la fonction de gestion de service sur le port non géré. Accordez ensuite des autorisations aux paquets de protocole correspondants.

USG6000 V100R001

USG6000 & USG9000 V500R001

Port de gestion (GE 0/0/0): la fonction de gestion de service est activée par défaut et les autorisations HTTP, HTTPS, Telnet, Ping, SSH et SNMP sont configurées. 
Aucune stratégie de sécurité n'est requise pour l'accès au périphérique via le port de gestion. Port de non-gestion (y compris les interfaces logiques, VLANIF et VT): la fonction de gestion de service est activée par défaut, mais les autorisations HTTP, HTTPS, Telnet, Ping, SSH et SNMP ne sont pas configurées. Dans ce cas, même si la politique d'autorisation de la zone de sécurité du port de non-gestion vers la zone locale est configurée, le port de non-gestion ne peut pas être utilisé pour accéder au périphérique. En outre, la fonction de gestion de service s’applique préférentiellement au filtrage de paquets. Par conséquent, l'opération ping échoue même si lastratégie de sécurité et l'itinéraire sont corrects. 
Pour gérer le périphérique via un port autre que de gestion, accordez les autorisations nécessaires sur les paquets de protocole correspondants.Vous pouvez également désactiver la fonction de gestion de services sur le port de non-gestion et configurer une stratégie de sécurité des autorisations à partir de la zone de sécurité du port de non-gestion vers la zone Local. 
REMARQUE 
Pour les modèles USG6000 V100R001 et USG6000 & 9000 V500R001, si vous devez vous connecter via Telnet, connectez-vous d'abord à la CLI du périphérique via le port de console ou à SSH, puis exécutez la commande d'activation du serveur telnet dans la vue système.Sinon, même si l'autorisation Telnet de gestion de service est configurée sur le port de non-gestion, Telnet ne peut pas être utilisé pour accéder au périphérique.

Exemple de configuration

  • Pour accéder au périphérique à partir d'un port autre que de gestion, vous pouvez activer la fonction de gestion de service et autoriser les paquets de protocole correspondants. Vous pouvez également désactiver la fonction de gestion des services et configurer une stratégie de sécurité des autorisations dans la zone locale. 
    La configuration de la commande est la suivante (avec l’USG6000 V100R001 à titre d’exemple): Activez la fonction de gestion de service pour contrôler les paquets de protocole de gestion accédant au périphérique. 
    [FW] interface GigabitEthernet 1/0/4 
    [FW-GigabitEthernet1 / 0/4] service-manage enable
    [FW-GigabitEthernet1 / 0/4] service-manage https permit
    [FW-GigabitEthernet1 / 0/4] service-manage ping permit
    [FW-GigabitEthernet1 / 0/4] service-manage telnet permit
    [FW-GigabitEthernet1 / 0/4] service-manage ssh permit
    [FW-GigabitEthernet1 / 0/4] service-manage snmp permit
  • Configurez une stratégie de sécurité pour contrôler les paquets de protocole de gestion accédant au périphérique. 
    [FW] interface GigabitEthernet 1/0/4 
    [FW-GigabitEthernet1 / 0/4] undo service-manage enable 
    [FW-GigabitEthernet1 / 0/4] quit
    [FW] security policy
    [FW-policy-security] rule name a
    [FW-policy-security-rule-a] source-zone trust
    [FW-policy-security-rule-a] destination-zone local 
    [FW-policy-security-rule-a] destination-address 192.168.5.1 32 
    [FW-policy-security-rule-a] action permit


  • x
  • Standard:

Responder

envoyer
Connectez-vous pour répondre. Se connecter | Enregistrer

Remarque Remarque : Afin de protéger vos droits et intérêts légitimes, ceux de la communauté et des tiers, ne divulguez aucun contenu qui pourrait présenter des risques juridiques pour toutes les parties. Le contenu interdit comprend, sans toutefois s'y limiter, le contenu politiquement sensible, le contenu lié à la pornographie, aux jeux d'argent, à l'abus et au trafic de drogues, le contenu qui peut divulguer ou enfreindre la propriété intellectuelle d'autrui, y compris les secrets professionnels, les marques commerciales, les droits d'auteur et les brevets, ainsi que la vie privée personnelle. Ne partagez pas votre nom d'utilisateur ou votre mot de passe avec d'autres personnes. Toutes les opérations effectuées à partir de votre compte seront considérées comme vos propres actions, et toutes les conséquences en découlant vous seront imputées. Pour plus de détails, voir « Politique de confidentialité ».
Si le bouton de la pièce-jointe n'est pas disponible, mettez à jour Adobe Flash Player à la dernière version.
Connectez-vous pour participer à la communication et au partage

Connectez-vous pour participer à la communication et au partage

S'identifier