Configurer les accès CLI à un switch Avaya - Nortel

 

 

 

Il est possible sur les équipements LAN Avaya Nortel d'activer ou désactiver les différents accès CLI et de les sécuriser.

 

Autoriser les différents accès et services

Pour accéder à l'équipement en CLI distant, ils est nécessaire d'activer l'accès Telnet / SSH : "telnet-access enable".

La commande  "web-server enable" permet d'activer le service Web, donnant accès à l'équipement en HTTP voire en HTTPS si la commande "ssl" est entrée.

 

L'agent SNMP s'active quant à lui avec la commande "snmp-server enable".

 

Sécuriser les accès

Afin de sécuriser les accès, il est tout d'abord recommandé de désactiver l'accès Telnet et de ne laisser que l'accès SSH en ce qui concerne le CLI distant.

De même, l'accès HTTP est à délaisser pour l'accès HTTPS.

 

Une authentification peut être demandée sur ces accès via la commande "cli password stack telnet radius local". Cette commande a pour but de demander pour les accès Telnet, une authentification Radius voire  locale si les serveurs Radius ne sont plus joignables.

L'authentification locale utilise les comptes créés localement sur l'équipement à l'aide de la commande "username Utilisateur Mot_de_passe rw". Dans cet exemple, l'utilisateur "Utilisateur" dont le mot de passe est "Mot_de_passe" a accès à l'équipement en lecture et en écriture.

 

Enfin, il est possible via l'"IP Manager" de configurer une ACL bloquant l'accès à tous les clients dont l'adresse MAC ou IP appartient à la liste des clients interdits.

Il faut dans un premier temps choisir les accès sur lesquels l'IP Manager valide les accès :

"ipmgr telnet
 ipmgr snmp
 ipmgr web"

Puis définir les clients autorisés :
"ipmgr source-ip 1 192.168.10.0 mask 255.255.255.0
 ipmgr source-ip 2 192.168.20.0 mask 255.255.255.0
 ipmgr source-ip 3 172.16.0.0 mask 255.255.0.0
 ipmgr source-ip 4 255.255.255.255 mask 255.255.255.255
 ipmgr source-ip 5 255.255.255.255 mask 255.255.255.255
 ipmgr source-ip 6 255.255.255.255 mask 255.255.255.255
 ipmgr source-ip 7 255.255.255.255 mask 255.255.255.255
 ...

 ipmgr source-ip 51 ::/0
 ipmgr source-ip 52 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff/128
 ipmgr source-ip 53 ffff:ffff:ffff:ffff:ffff:ffff:ffff:ffff/128
 ..."

 

 

 

 

Informations supplémentaires