Использование SSH tunneling на устройствах Juniper с Junos

    Учитывая, что в операционной системе Junos используется довольно стандартный демон ssh, я осмелился предположить, что организация ssh туннелей в нём реализована. И хотя в документации о таком применении коммутаторов, маршрутизаторов или межсетевых экранов не удалось найти упоминания — это работает. Мало того, ssh туннели разрешены по умолчанию.

    Приведу пример, позволяющий продемонстрировать, где это может пригодиться.

    Предположим, где-то на удалённой площадке, к коммутатору Juniper EX серии, находящемуся под вашим управлением, подключили новый коммутатор 3COM 3C16475CS. И перед нами стоит задача получить управление над коммутатором.

    Из документации на 3C16475CS удалось узнать, что при первом включении устройства для присвоения ip адреса используется процедура «Automatic IP Configuration», во время которой коммутатор присваивает себе ip адрес из сети 169.254.x.y/16. Где x и y — это последние 2 байта MAC адреса устройства. Так как настройка маршрутизации в устройстве не происходит (действительно, откуда ему знать кто в данной сети может быть маршрутизатором в другие сети?), подключиться к присвоенному ip можно только имея ip адрес в той-же сети.

    Для наглядности приведу поясняющую схему.


    Первое, что нам необходимо сделать, это добавить в качестве второго адреса на выбранном L3 интерфейсе коммутатора Juniper EX 2200 дополнительный ip адрес принадлежащий сети 169.254.0.0/16.

    Второе, убедиться, что выбранный нами L3 интерфейс и порт, к которому подключён коммутатор 3COM 3C16475CS принадлежат одному VLAN.

    Вот выдержки из конфигурации относящиеся к первым двум пунктам:
    adm@ex2200> show configuration interfaces vlan
    unit 0 {
        family inet {
            address 192.168.77.8/24 {
                primary;
            }
            address 169.254.20.20/16;
        }
    
    adm@ex2200> show configuration vlans
    default {
        vlan-id 1;
        interface {
            ge-0/0/5.0;
        }
        l3-interface vlan.0;
    }
    

    Третье, на рабочем месте администратора запускаем ssh туннель.
    > ssh -L 192.168.88.12:2000:169.254.1.2:80 192.168.77.8
    

    Четвёртое, обращаемся по URL http://192.168.88.12:2000/ к управляющему интерфейсу коммутатора 3COM.

    PS: Раз уж мы рассматриваем коммутаторы 3COM, отмечу, что документацию по ним можно найти на web сайте HP, используя так называемый "3Com product conversion tool".

    PS1: Для данной конкретной модели коммутатора 3C16475CS характерна одна особенность, портящая всю простоту решения. Дело в том, что коммутатор после аутентификации пользователя изменяет location для последующей работы web интерфейса. При этом, он содержит ip адрес, присвоенный коммутатором. Происходит изменение location в функции «doCookie()» переменной «sysIpAddress». Исправляется это следующим образом. После загрузки окна аутентификации пользователя, но до непосредственно аутентификации, вы можете использовать инструменты WEB разработчика (Например в IE9. Сервис Alt-X, Средства разработчика F12, Сценарий. Находите указанную функцию JavaScript, переменную). Для изменения переменной присваиваем ей ip адрес, который вы используете для обращения к ssh туннелю web браузером.
    Поделиться публикацией

    Похожие публикации

    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 4

      0
      Идея понятна, но возникает вопрос — не проще ли зайти на Juniper и оттуда в свою очередь телнетом или через ssh сконфигурировать 3Com? Или эти сервисы по умолчанию на 3Com деактивированы?
        0
        Эта конкретная модель 3COM кроме web интерфейса ничего не умеет. Но просто хотелось продемонстрировать принцип.
          0
          Тогда понятно, спасибо, быть может когда и пригодится.
          0
          SSH tunneling, распостранненая техника позволяющая обратиться к ресурсам внутренней сети минуя ВПН. Если конечно есть разрешения на пограничном рутере для создания тунеля.

          Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

          Самое читаемое