管理可访问 SP 的 IP 地址

默认情况下,SP 接受来自任何 IP 地址的管理主机的 SSH 连接请求。您可以对 SP 进行配置,使其仅接受来自指定 IP 地址的管理主机的 SSH 连接请求。所作更改将应用到对集群中任何节点的 SP 的 SSH 访问。

步骤

  1. 使用 system service-processor ssh add-allowed-addresses 命令和 -allowed-addresses 参数仅向您指定的 IP 地址授予 SP 访问权限。
    • -allowed-addresses 参数值必须按 address/netmask 格式指定,多个 address/netmask 对之间必须使用英文逗号分隔,例如 10.98.150.10/24, fd20:8b1e:b255:c09b::/64

      -allowed-addresses 参数设置为 0.0.0.0/0, ::/0,可以使所有 IP 地址都能访问 SP(默认设置)。

    • 如果您更改此默认设置,仅允许您指定的 IP 地址访问 Sp,则 ONTAP 将提示您确认是否希望使用指定的 IP 地址来替换默认设置“allow all”(0.0.0.0/0, ::/0)。
    • system service-processor ssh show 命令用于显示可访问 SP 的 IP 地址。
  2. 如果您想阻止某个指定 IP 地址访问 SP,请使用 system service-processor ssh remove-allowed-addresses 命令和 -allowed-addresses 参数。
    如果您想阻止所有 IP 地址访问 SP,则无法从任何管理主机访问该 SP。

管理可访问 SP 的 IP 地址的示例

以下示例显示了对 SP 的 SSH 访问的默认设置,通过仅允许您指定的 IP 地址访问 SP 来更改默认设置,从访问列表中删除指定的 IP 地址,然后还原所有 IP 地址的 SP 访问。

cluster1::> system service-processor ssh show
  Allowed Addresses: 0.0.0.0/0, ::/0

cluster1::> system service-processor ssh add-allowed-addresses -allowed-addresses 192.168.1.202/24, 192.168.10.201/24

Warning: The default "allow all" setting (0.0.0.0/0, ::/0) will be replaced
         with your changes. Do you want to continue? {y|n}: y

cluster1::> system service-processor ssh show
  Allowed Addresses: 192.168.1.202/24, 192.168.10.201/24

cluster1::> system service-processor ssh remove-allowed-addresses -allowed-addresses 192.168.1.202/24, 192.168.10.201/24

Warning: If all IP addresses are removed from the allowed address list, all IP
         addresses will be denied access. To restore the "allow all" default,
         use the "system service-processor ssh add-allowed-addresses
         -allowed-addresses 0.0.0.0/0, ::/0" command. Do you want to continue?
          {y|n}: y

cluster1::> system service-processor ssh show
  Allowed Addresses: -

cluster1::> system service-processor ssh add-allowed-addresses -allowed-addresses 0.0.0.0/0, ::/0

cluster1::> system service-processor ssh show
  Allowed Addresses: 0.0.0.0/0, ::/0