中兴R5300 G4服务器启用了BMC远程管理,为保障设备安全配置启用防火墙只放通特定维护服务器可以访问。
一、设备初始登录信息
1、中兴R5300G4服务器,默认BMC管理地址https//192.168.5.7
2、中兴zteroot用户的默认密码为:Superuser9!
二、遗忘设备登录密码的重置方法
请参见本人博文:中兴R5300 G4服务器iSAC管理员zteroot密码遗失的重置方法...
三、配置方法
1、登录设备
从主页进入设置-防火墙
缺省ipv4\ipv6均为黑名单设置,且均无预设规则
2、启用防火墙建议
为限制最小化的设备连接,建议调整策略如下:
- 切换到白名单控制(切换以前,需先行添加允许访问的主机白名单);
- 仅允许远程可信的维护主机加入白名单;
- 为保障现场设备维护能力,建议将设备本段地址加入白名单;
- 在未启用ipv6的场景,ipv6规则可无需配置,如启用了ipv6,可以参照配置;
- 完前白名单添加保存并确认后,将防火墙切换到白名单模式。
3、实战配置1--添加白名单
首先需要将当前登录的远程可信维护主机加入到白名单中,防止启用白名单后连接中断无法配置,点击IP地址防火墙规则,添加IP规则,添加主机IP,单个IP只需添加到IP开始中即可,规则选定为“允许”,如下图所示:
点击保存,此时会弹窗警示:
确定即可。然后可修改上面填的IP信息,继续保存,反复操作可以在本页面连续添加:
对设备本地址段,建议全部IP添加,这样可以保障现场直连无碍:
4、实战配置2--确认白名单
点击右上“系统防火墙”页签返回到防火墙页面,点击“IP地址防火墙”--“现有IP规则”,可以看到当前已配置的全部白名单:
确认包含了远程可信终端和本地IP地址。
5、启用白名单配置
在系统防火墙页签,将ipv4默认策略由黑名单调整为白名单,点击保存,此时将只有白名单列表中的主机可以访问设备BMC地址了
6、验证配置
从非白名单中的主机尝试ping及登录设备管理页面,将无法连接,可见防火墙已正常运行。
