wikiPorty sieciowe w Supermicro Remote Managment
W tym artykule opisujemy jakie porty TCP/UDP muszą być otwarte w firewallu, aby umożliwić dostęp do różnych usług (np. interfejsu webowego IPMI, zdalnej konsoli itd.) oferowanych przez Full Remote Management w serwerach Supermicro.
Ogólna wskazówka odnośnie bezpieczeństwa
Zalecamy wykonywać wszystkie zdalne czynności administracyjne przez VPN, zarówno za pośrednictwem IPMI jak i SSH.[1]
Porty TCP/UDP
Wykorzystywane porty są uzależnione od chipu IPMI na danej płycie głównej, informacje na temat typu chipu IPMI znajdują się na poniższych stronach:
- Chipy IPMI z oprogramowaniem ATEN: ASPEED AST2400 i Nuvoton WPCM450R
- Chipy IPMI z oprogramowaniem AMI: Nuvoton WPCM450R
Ogólna uwaga:
- Aby możliwe było zamontowanie wirtualnych mediów via IPMI musi zostać zapewniony dostęp do wybranego zasobu (Samba lub Windows) dla chipu IPMI.
Chipy IPMI z oprogramowaniem ATEN
Na płytach głównych z chipem IPMI ATEN wykorzystywane są poniższe porty (przetestowane na chipach ASPEED-ATEN (firmware 1.42) i Nuvoton-ATEN (firmware 3.29)):
| Numer portu | Numer portu może ulec zmianie |
Usługa | Uwagi |
|---|---|---|---|
| 22 (TCP) | tak (*) | SSH | SSH for SMASH. |
| 80 (TCP) | tak | HTTP | dostęp do interfejsu webowego |
| 161 (UDP) | tak | SNMP | dostęp do SNMP (płyty główne X10 z chipem ASPEED i firmwarem w wersji 1.69). |
| 443 (TCP) | tak | HTTPS | dostęp do interfejsu webowego (przez SSL). |
| 623 (UDP) | nie | IPMI | dostęp dla oprogramowania IPMI, takiego jak IPMItool lub FreeIPMI |
| 623 (TCP) | tak | wirtualne media | wirtualne media w zdalnej konsoli (Virtual Media for Remote Console) |
| 5900 (TCP) | tak | zdalna konsola | KVM over IP, dostępny z interfejsu webowego lub ukvm |
| 5985 (TCP) | tak (*) | Wsman | usługa jest na chipach ASPEED-ATEN domyślnie wyłączona |
(*) tylko na chipach IPMI ASPEED-ATEN, nie na chipach IPMI Nuvoton-ATEN.
Chipy IPMI z oprogramowaniem AMI
Na płytach głównych z chipem IPMI AMI wykorzystywane są poniższe porty (przetestowane na chipach IPMI Nuvoton-AMI (firmware 3.01)):
| Numer portu | Numer portu może ulec zmianie |
Usługa | Uwagi |
|---|---|---|---|
| 22 (TCP) | nie | SSH | dostęp przez SSH do zintegrowanego BusyBox Shell |
| 80 (TCP) | tak | HTTP | dostęp do interfejsu webowego |
| 443 (TCP) | nie | HTTPS | dostęp do interfejsu webowego (przez SSL) |
| 555 (TCP) | nie | Wsman | Web Services-Management (SOAP) |
| 623 (UDP) | nie | IPMI | dostęp dla oprogramowania IPMI, takiego jak IPMItool lub FreeIPMI |
| 5120 (TCP) | tak | CD | CD w zdalnej konsoli |
| 5123 (TCP) | nie | floppy | floppy w zdalnej konsoli |
| 5900 (TCP) | tak | zdalna konsola | KVM over IP, dostępny z interfejsu webowego lub ukvm |
| 5901 (TCP) | tak | video | obraz w zdalnej konsoli |
| 5988 (TCP) | nie | wbem-http | Web Based Enterprise Management (sfcbd) |
Chipy IPMI Raritan
Na płytach głównych Supermicro X7 i H8 z modułami zdalnego zarządzania Raritan AOC-SIM1U+/AOC-SIMSO+ wykorzystywane są poniższe porty (przetestowane z firmwarem w wersji 1.66):
| Numer portu | Numer portu może zostać zmieniony |
Opis | Uwagi |
|---|---|---|---|
| 22 (TCP) | tak | SSH | SSH jest domyślnie wyłączone (vide zrzut) |
| 80 (TCP) | tak | HTTP | dostęp do interfejsu webowego, zdalnej konsoli, wirtualnych mediów |
| 443 (TCP) | tak | HTTPS | dostęp do interfejsu webowego, zdalnej konsoli, wirtualnych mediów (przez SSL) |
| 623 (UDP) | nie | IPMI | dostęp dla oprogramowania IPMI, takiego jak IPMItool lub FreeIPMI. |
Odnośniki
- ↑ Best Practices for managing servers with IPMI features enabled in Datacenters (www.supermicro.com)
Dodatkowe informacje
- Supermicro Intelligent Management (IPMI) (www.supermicro.com)
Autor: Werner Fischer
