我们如何隔离操作系统访问Supermicro MBI-6219G-T刀片服务器上的IPMI接口?

我们如何隔离操作系统访问Supermicro MBI-6219G-T刀片服务器上的IPMI接口?

我们过去曾管理过具有独立 IPMI/BMC 网络接口的 Supermicro 服务器。这些 IPMI 接口都连接到单独的 VLAN。对于这些服务器,操作系统无法连接到 IPMI/BMC 接口,并且我们从未能够连接到管理/IPMI VLAN 上的设备,这是意料之中的行为。

现在,我们正在 628E 机箱上部署 Supermicro MicroBlade 服务器试点项目,令我们惊讶的是,操作系统能够连接/PING 连接到 IPMI/BMC LAN 的任何其他设备。这将允许任何客户端访问敏感且受限制的 LAN。

超微 MBI-6219G-T刀片可以访问连接到 IPMI VLAN 的所有 IP 主机。我们可以从操作系统 PING 所有主机。即使 LAN1 和 LAN2 接口连接到不同的子网/VLAN。操作系统如何访问 IPMI 接口?这对于我们的公共云托管服务提供商环境来说是一个严重的安全漏洞。

根据这个文档来自 Supermicro,我们的理解是 IPMI 接口连接到管理模块(MBM-CMM-001) 交换机 (SW),与连接到机箱上单独交换机模块的 LAN1 和 LAN2 接口隔离(MBM-GEM-001)。根据这种物理分离,操作系统不应访问 IPMI。这是我们第一次看到这种情况,我们与数百台 Supermicro 服务器合作。

这些刀片连接到以下管理模块:

型号:MBM-CMM-001

CMM 固件修订版:03.61

管理交换机 FW 修订版:02.03

LAN1和LAN2接口连接到交换模块:

型号:MBM-GEM-001

固件:PG1_1.0.1-12

任何帮助都将不胜感激。

谢谢你,

相关内容