将 Dell BMC 和 iDRAC 上的 IPMI 访问限制在允许的 IP 范围内

如果你有切换环境，你需要限制访问IPMI，方法是在核心交换机上做ACL策略，这样你就可以限制特定网络访问这个子网或服务。您只能使用 INPUT 链来执行此操作，例如，如果您的 IPMI 在 192.168.110.0/24 VLAN1 上，您的桌面在 10.0.0.0/24 VLAN2 上，隔离 LAN 在 10.0.1.0/24 VLAN3 上，您可以设置规则如下面的例子。但是，如果要限制在同一个子网，是不行的，也不能这样做，被限制的客户端必须在不同的局域网（可路由的ip范围）。

如此简单，在核心交换机上，您可以加载策略并指定

#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit

#Allow Multicast
From Any To 224.0.0.0/4 Permit

#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit

#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit

#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit

#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny

From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit

From 0.0.0.0/0 to 0.0.0.0/0 Deny

附言。你的核心交换机（VLAN间路由器转发）肯定支持这种ACL。

这是一种替代方法，它可能可行也可能不可行，具体取决于您的交换机功能和特性集。

您需要根据您拥有的 BMC、IPMI 和 DRAC 版本进行自己的研究以扩展它。

下面是 DRAC 端口和协议的列表。将您的整个网络配置为仅使选定的少数主机或更好的堡垒主机可以访问这些主机，或者，使用可能不适用于任何基于 UDP 的协议的 IPS 重置连接。

DRAC6

iDRAC6 服务器侦听端口
端口号功能
22* SSH
23* 远程登录
80* HTTP
443* HTTPS
623 RMCP/RMCP+
5900* 控制台重定向键盘/鼠标、虚拟媒体服务、虚拟媒体安全服务、控制台重定向视频
可配置端口*

表 1-4。iDRAC6 客户端端口

端口号功能
25 邮件传输协议
53 域名系统
68 DHCP 分配的 IP 地址
69 文件传输协议
162 SNMP 陷阱
第636关
3269 用于全局目录 (GC) 的 LDAPS

DRAC5

端口号功能
（服务器端口）
22* 安全外壳 (SSH)
23* 远程登录
80* HTTP
161 SNMP代理
443* HTTPS
623 RMCP/RMCP+
3668* 虚拟媒体服务器
3669* 虚拟媒体安全服务
5900* 控制台重定向键盘/鼠标
5901* 控制台重定向视频

可配置端口*

表 1-3。DRAC 5 客户端端口
端口号功能
25 邮件传输协议
53 域名系统
68 DHCP 分配的 IP 地址
69 文件传输协议
162 SNMP 陷阱
第636关
3269 用于全局目录 (GC) 的 LDAPS

DRAC 4

 
DRAC 4 端口号用于

DRAC 4 上侦听连接（服务器）的端口：
23 Telnet（可配置）
80 HTTP（可配置）
161 SNMP 代理（不可配置）
443 HTTPS（可配置）
3668 虚拟媒体服务器（可配置）
5869 远程 racadm spcmp 服务器（不可配置）
5900 控制台重定向（可配置）

DRAC 4 用作客户端的端口：
25 SMTP（不可配置）
69 TFTP（不可配置）
162 SNMP 陷阱（不可配置）
53 域名系统
第636章
3269 用于全局目录 (GC) 的 LDAP

DRAC 3 端口

端口号 协议使用 端口是否可配置？

7 UDP/TCP 用于 Ping (Echo) 否
22 SSH Secure Shell 默认端口 否
23 Telnet Telnet 默认端口 是
25 SMTP 简单邮件传输协议端口号
53 DNS 域名服务器 (DNS) 默认端口 否
68 bootstrap Wake-on-LAN 默认端口 是
69 TFTP 简单文件传输协议端口号
80 HTTP DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 默认端口 是
161 SNMP（获取/设置）Dell OpenManage Array Manager、DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 使用的 SNMP 代理端口 否
162 SNMP (traps) SNMP 陷阱侦听器端口 否
623 Telnet 底板管理控制器 (BMC) 管理实用程序默认端口 是
636 LDAP 轻型目录访问协议 (LDAP) 端口 否
443 HTTPS (SSL) DRAC 4 默认端口 是
1311 HTTPS (SSL) Dell OpenManage Server Administrator 默认端口 是
2148 由 Array Manager 客户端用于连接
2606 Dell OpenManage IT Assistant 连接服务和网络监控服务之间的 TCP/IP 通信 是
2607 HTTPS IT Assistant 用户界面和连接服务之间的通信
是的
3269 LDAP 用于全局目录 (GC) 端口的 LDAP 否
3668 VMS 虚拟媒体服务器 是
4995 TCP/IP Dell OpenManage 客户端连接器 (OMCC) 默认端口 是
5869 spcmp 服务器 远程 ​​racadm spcmp 服务器 否
5900 VNC 代理服务器 DRAC III、DRAC III/XT、ERA 和 ERA/O 的控制台重定向默认端口 是 5900

使用的参考资料：

DRAC 6 http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm

DRAC 5 http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html

DRAC 4 http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm

DRAC 3 http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm

对于 iDRAC9，您可以使用 Web 界面

iDRAC 设置 > 连接 > 网络 > 网络设置 > 高级网络设置。

对于 iDRAC8 使用

iDRAC 设置 > 网络 > 高级网络设置。

iDRAC9 的戴尔文档