Users Guide
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
要将登录限制到一小组四个相邻 IP 地址(例如,192.168.0.212 到 192.168.0.215),则在掩码中除最低的两个位以外选中所有位,如下所示:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
IP 筛选原则
启用 IP 筛选时应遵循以下原则:
l 确保 cfgRacTuneIpRangeMask 配置为网络掩码的形式,所有的重要位为 1(定义掩码中的子网),在低位都变为 0。
l 用所要的范围基础地址作为 cfgRacTuneIpRangeAddr 的值。此地址的 32 位二进制值应将掩码中为零的所有低位都设为零。
IP 阻塞
IP 阻塞动态确定来自特定 IP 地址的额外登录失败,并阻塞(或防止)该地址在预选的时间长度内登录 DRAC 5。
IP 阻塞参数使用 cfgRacTuning 组功能,其中包括:
l 允许的登录失败次数
l 按秒计算的必须出现这些失败的时间范围
l 阻止“有问题”IP 地址在超过允许失败总数后不能建立会话的时间(秒)
随着特定 IP 地址的登录失败次数不断累积,这些值会由内部计数器“增加”。当用户成功登录后,失败历史记录就会清除并且内部计数器将重设。
请参阅 "DRAC 5 属性数据库组和对象定义" 查看 cfgRacTune 属性的完整列表。
表 11-16 列出了用户定义的参数。
表 11-16。 登录重试限制属性
注: 如果客户端 IP 地址的登录尝试遭到拒绝,有些 SSH 客户端会显示以下信息:ssh exchange identification: Connection closed by remote host.(ssh exchange
标识:连接被远程主机关闭。)
属性
定义
cfgRacTuneIpBlkEnable
启用 IP 阻塞功能。
如果在一段时间内 (cfgRacTuneIpBlkFailWindow) 某 IP 地址出现连续的失败 (cfgRacTuneIpBlkFailCount),则在一段时间内
(cfgRacTuneIpBlkPenaltyTime) 来自该地址的其它建立会话尝试都会遭到拒绝。
cfgRacTuneIpBlkFailCount
设置拒绝某 IP 地址的登录尝试前允许的登录失败次数。