将 Dell BMC 和 iDRAC 上的 IPMI 访问限制在允许的 IP 范围内

如果您有交换机环境，并且需要限制对 IPMI 的访问，那么可以这样做：在核心交换机上制定 ACL 策略，这样您就可以限制从特定网络对此子网或服务的访问。您只能使用 INPUT 链来执行此操作，例如，如果您的 IPMI 位于 192.168.110.0/24 VLAN1 上，而您的桌面位于 10.0.0.0/24 VLAN2 上，隔离 LAN 位于 10.0.1.0/24 VLAN3 上，您可以按照以下示例设置规则。但是，如果您想在同一个子网上进行限制，则无法通过这种方式完成，受限客户端必须位于不同的 LAN（可路由 IP 范围）上。

简单来说，在核心交换机上，你可以加载策略并指定

#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit

#Allow Multicast
From Any To 224.0.0.0/4 Permit

#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit

#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit

#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit

#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny

From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit

From 0.0.0.0/0 to 0.0.0.0/0 Deny

ps. 你的核心交换机（VLAN间转发的路由器）肯定支持这种ACL。

这是另一种方法，根据您的交换机功能和特性集，它可能可行也可能不可行。

您需要根据您拥有的 BMC、IPMI 和 DRAC 版本进行自己的研究来扩展此功能。

以下是 DRAC 端口和协议的列表。配置整个网络，使其仅供少数主机访问，或者更好的是，堡垒主机，或者使用 IPS 重置连接，IPS 可能不适用于任何基于 UDP 的协议。

DRAC6

iDRAC6 服务器侦听端口
端口号 功能
22* SSH
23* 远程登录
80* HTTP
443* HTTPS
623 RMCP/RMCP+
5900* 控制台重定向键盘/鼠标、虚拟媒体服务、虚拟媒体安全服务、控制台重定向视频
可配置端口*

表 1-4. iDRAC6 客户端端口

端口号 功能
25 SMTP
53 DNS
68 DHCP 分配的 IP 地址
69 TFTP
162 SNMP 陷阱
636 LDAP 服务
3269 LDAPS 用于全局目录 (GC)

DRAC5

端口号 功能
（服务器端口）
22* 安全外壳 (SSH)
23* 远程登录
80* HTTP
161 SNMP 代理
443* HTTPS
623 RMCP/RMCP+
3668* 虚拟媒体服务器
3669* 虚拟媒体安全服务
5900* 控制台重定向键盘/鼠标
5901* 控制台重定向视频

可配置端口*

表 1-3。 DRAC 5 客户端端口
端口号 功能
25 SMTP
53 DNS
68 DHCP 分配的 IP 地址
69 TFTP
162 SNMP 陷阱
636 LDAP 服务
3269 LDAPS 用于全局目录 (GC)

DRAC 4

 
DRAC 4 端口号用于

DRAC 4 上监听连接的端口（服务器）：
23 Telnet（可配置）
80 HTTP（可配置）
161 SNMP 代理（不可配置）
443 HTTPS（可配置）
3668 虚拟媒体服务器（可配置）
5869 远程 racadm spcmp 服务器（不可配置）
5900 控制台重定向（可配置）

DRAC 4 作为客户端使用的端口：
25 SMTP（不可配置）
69 TFTP（不可配置）
162 SNMP 陷阱（不可配置）
53 DNS
636 LDAP
3269 LDAP 用于全局目录 (GC)

DRAC 3 端口

端口号 协议使用 端口是否可配置？

7 用于 Ping 的 UDP/TCP（回显） 否
22 SSH 安全外壳默认端口 否
23 Telnet Telnet 默认端口 是
25 SMTP 简单邮件传输协议端口 否
53 DNS 域名服务器 (DNS) 默认端口 无
68 bootstrap LAN 唤醒默认端口 是
69 TFTP 简单文件传输协议端口 否
80 HTTP DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 默认端口 是
161 SNMP（获取/设置）Dell OpenManage Array Manager、DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 使用的 SNMP 代理端口 否
162 SNMP（陷阱） SNMP 陷阱侦听器端口 否
623 Telnet 底板管理控制器 (BMC) 管理实用程序默认端口 是
636 LDAP 轻量级目录访问协议 (LDAP) 端口 否
443 HTTPS (SSL) DRAC 4 默认端口 是
1311 HTTPS (SSL) Dell OpenManage Server Administrator 默认端口 是
2148 由 Array Manager 客户端用于连接
2606 TCP/IP Dell OpenManage IT Assistant 连接服务和网络监控服务之间的通信 是
2607 IT Assistant 用户界面和连接服务之间的 HTTPS 通信
是的
3269 LDAP 全局目录 (GC) 端口的 LDAP 否
3668 VMS 虚拟媒体服务器 是
4995 TCP/IP Dell OpenManage Client Connector (OMCC) 默认端口 是
5869 spcmp 服务器 远程 ​​racadm spcmp 服务器 否
5900 VNC 代理服务器 DRAC III、DRAC III/XT、ERA 和 ERA/O 的控制台重定向默认端口 是 5900

参考文献：

DRAC 6http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm

DRAC 5http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html

DRAC 4http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm

DRAC 3http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm

对于 iDRAC9，您可以使用 Web 界面

iDRAC 设置 > 连接 > 网络 > 网络设置 > 高级网络设置。

对于 iDRAC8 使用

iDRAC 设置 > 网络 > 高级网络设置。

iDRAC9 的 DELL 文档