换句话说,命令:是
unset interface ethernet1/1 ip manageable多余的吗?
我认为,出于安全考虑,Netscreens 仅在 mgt 端口上启用管理功能可能更有意义,但我在 Netscreen 手册中找不到对此的任何引用。实际上,我甚至在 Juniper Netscreen Screen OS CLI 指南中都找不到对“manageable”命令的引用: http://www.juniper.net/techpubs/software/screenos/screenos5x/screenos5xidp1/CLI_5.0.0-IDP1.pdf
我正在查看的配置文件将包含如下命令:
set interface ethernet1/1 manage-ip XXX.XXX.XXX.XXX
然后
unset interface ethernet1/1 ip manageable
我知道第一个命令将设置该接口上管理端口的 IP,但我不确定下一个命令是否真的有必要,因为我后来看到网络管理员做了类似的事情:
set interface ethernet1/1 manage ping
set interface ethernet1/1 manage ssh
set interface ethernet1/1 manage snmp
set interface ethernet1/1 manage ssl
...如果该接口上的管理功能默认启用,我不确定他们为什么要费心这么做。但如果默认情况下不启用,为什么要费心使用“unset”命令?
如果这取决于 Netscreen 设备,请告诉我,以便我可以更具体说明。
答案1
我在ScreenOS 6.3 管理手册在第 37 页:
将接口绑定到除 Trust 和 V1-Trust 区域之外的任何安全区域时,所有管理选项默认都被禁用。