Учитывая, что в операционной системе Junos используется довольно стандартный демон ssh, я осмелился предположить, что организация ssh туннелей в нём реализована. И хотя в документации о таком применении коммутаторов, маршрутизаторов или межсетевых экранов не удалось найти упоминания — это работает. Мало того, ssh туннели разрешены по умолчанию.
Приведу пример, позволяющий продемонстрировать, где это может пригодиться.
Предположим, где-то на удалённой площадке, к коммутатору Juniper EX серии, находящемуся под вашим управлением, подключили новый коммутатор 3COM 3C16475CS. И перед нами стоит задача получить управление над коммутатором.
Из документации на 3C16475CS удалось узнать, что при первом включении устройства для присвоения ip адреса используется процедура «Automatic IP Configuration», во время которой коммутатор присваивает себе ip адрес из сети 169.254.x.y/16. Где x и y — это последние 2 байта MAC адреса устройства. Так как настройка маршрутизации в устройстве не происходит (действительно, откуда ему знать кто в данной сети может быть маршрутизатором в другие сети?), подключиться к присвоенному ip можно только имея ip адрес в той-же сети.
Для наглядности приведу поясняющую схему.
Первое, что нам необходимо сделать, это добавить в качестве второго адреса на выбранном L3 интерфейсе коммутатора Juniper EX 2200 дополнительный ip адрес принадлежащий сети 169.254.0.0/16.
Второе, убедиться, что выбранный нами L3 интерфейс и порт, к которому подключён коммутатор 3COM 3C16475CS принадлежат одному VLAN.
Вот выдержки из конфигурации относящиеся к первым двум пунктам:
Третье, на рабочем месте администратора запускаем ssh туннель.
Четвёртое, обращаемся по URL http://192.168.88.12:2000/ к управляющему интерфейсу коммутатора 3COM.
PS: Раз уж мы рассматриваем коммутаторы 3COM, отмечу, что документацию по ним можно найти на web сайте HP, используя так называемый "3Com product conversion tool".
PS1: Для данной конкретной модели коммутатора 3C16475CS характерна одна особенность, портящая всю простоту решения. Дело в том, что коммутатор после аутентификации пользователя изменяет location для последующей работы web интерфейса. При этом, он содержит ip адрес, присвоенный коммутатором. Происходит изменение location в функции «doCookie()» переменной «sysIpAddress». Исправляется это следующим образом. После загрузки окна аутентификации пользователя, но до непосредственно аутентификации, вы можете использовать инструменты WEB разработчика (Например в IE9. Сервис Alt-X, Средства разработчика F12, Сценарий. Находите указанную функцию JavaScript, переменную). Для изменения переменной присваиваем ей ip адрес, который вы используете для обращения к ssh туннелю web браузером.
Приведу пример, позволяющий продемонстрировать, где это может пригодиться.
Предположим, где-то на удалённой площадке, к коммутатору Juniper EX серии, находящемуся под вашим управлением, подключили новый коммутатор 3COM 3C16475CS. И перед нами стоит задача получить управление над коммутатором.
Из документации на 3C16475CS удалось узнать, что при первом включении устройства для присвоения ip адреса используется процедура «Automatic IP Configuration», во время которой коммутатор присваивает себе ip адрес из сети 169.254.x.y/16. Где x и y — это последние 2 байта MAC адреса устройства. Так как настройка маршрутизации в устройстве не происходит (действительно, откуда ему знать кто в данной сети может быть маршрутизатором в другие сети?), подключиться к присвоенному ip можно только имея ip адрес в той-же сети.
Для наглядности приведу поясняющую схему.
Первое, что нам необходимо сделать, это добавить в качестве второго адреса на выбранном L3 интерфейсе коммутатора Juniper EX 2200 дополнительный ip адрес принадлежащий сети 169.254.0.0/16.
Второе, убедиться, что выбранный нами L3 интерфейс и порт, к которому подключён коммутатор 3COM 3C16475CS принадлежат одному VLAN.
Вот выдержки из конфигурации относящиеся к первым двум пунктам:
adm@ex2200> show configuration interfaces vlan
unit 0 {
family inet {
address 192.168.77.8/24 {
primary;
}
address 169.254.20.20/16;
}
adm@ex2200> show configuration vlans
default {
vlan-id 1;
interface {
ge-0/0/5.0;
}
l3-interface vlan.0;
}
Третье, на рабочем месте администратора запускаем ssh туннель.
> ssh -L 192.168.88.12:2000:169.254.1.2:80 192.168.77.8
Четвёртое, обращаемся по URL http://192.168.88.12:2000/ к управляющему интерфейсу коммутатора 3COM.
PS: Раз уж мы рассматриваем коммутаторы 3COM, отмечу, что документацию по ним можно найти на web сайте HP, используя так называемый "3Com product conversion tool".
PS1: Для данной конкретной модели коммутатора 3C16475CS характерна одна особенность, портящая всю простоту решения. Дело в том, что коммутатор после аутентификации пользователя изменяет location для последующей работы web интерфейса. При этом, он содержит ip адрес, присвоенный коммутатором. Происходит изменение location в функции «doCookie()» переменной «sysIpAddress». Исправляется это следующим образом. После загрузки окна аутентификации пользователя, но до непосредственно аутентификации, вы можете использовать инструменты WEB разработчика (Например в IE9. Сервис Alt-X, Средства разработчика F12, Сценарий. Находите указанную функцию JavaScript, переменную). Для изменения переменной присваиваем ей ip адрес, который вы используете для обращения к ssh туннелю web браузером.