Aktifkan Inband SSH di Nokia 7250

Aktifkan Inband SSH di Nokia 7250
Pengen remote router Nokia 7250 langsung dari jaringan produksi tanpa ribet kabel konsol atau OOB? Jawabannya: inband SSH. Di artikel ini, gue bakal bahas step-by-step cara ngaktifin inband SSH di Nokia 7250 (SR OS) dengan gaya santai tapi tetep aman dan rapi. Cocok buat yang pengen cepat beres tapi gak ngorbanin best practice.

Apa itu Inband vs Out-of-Band (OOB)?
– Out-of-Band (OOB): akses manajemen via jalur khusus (misal port mgmt/console), terpisah dari trafik pelanggan/produksi. Aman banget, tapi nggak selalu ada di semua site.
– Inband: akses manajemen lewat interface produksi (IP yang ada di router/VRF). Praktis, bisa dilakukan dari mana aja selama routingnya nyampe, tapi wajib lebih hati-hati soal security.

Buat banyak operator/enterprise, inband itu lifesaver saat OOB nggak tersedia atau pas lagi urgent.

Prerequisites (Biar Gak Nabrak)
– Punya akses admin ke Nokia 7250 (SR OS).
– Interface L3 yang aktif dan punya IP (bisa di Base router atau VRF/VPRN yang emang dipakai untuk manajemen).
– Routing dari PC/jaringan management ke IP router tersebut (static/IGP/VRF sesuai desain).
– Port 22 nggak diblok firewall/ACL di path.
– Wajib paham risiko keamanan kalau buka akses dari jaringan produksi.

Garis Besar Langkah
1) Tentukan interface mana yang dipakai buat inband management (Base router atau VPRN).
2) Pastikan IP dan routingnya beres.
3) Buat user lokal (kalau pakai AAA lokal).
4) Nyalain SSH server + generate key.
5) Batasi akses SSH pakai ACL/filter biar nggak kebuka ke seluruh dunia.
6) Save config, lalu test.

Langkah Detail dan Contoh Konfig
Catatan:
– Sintaks bisa beda tipis tergantung versi SR OS, tapi flow-nya sama.
– Sesuaikan nama interface, IP, dan port fisik dengan topologi lo.

1. Siapkan IP Inband
Pilih salah satu opsi:
– Base router (global routing): cocok buat akses management dari core/ops network tanpa VRF.
– VPRN khusus manajemen: cocok kalau manajemen dipisah VRF.

Contoh di Base router:
– Buat interface L3 inband:
– configure router interface “inband-mgmt”
– address 10.10.50.10/24
– no shutdown
– Kalau perlu, binding ke port:
– configure router interface “inband-mgmt” port 1/1/1 encap null
– Atau pakai loopback (stabil buat manajemen):
– configure router interface “lo-mgmt”
– loopback
– address 10.255.255.1/32
– no shutdown

Contoh di VPRN (misal VRF=100, nama svc “mgmt”):
– configure service vprn 100 name “mgmt”
– interface “inband-mgmt” address 172.16.50.10/24
– sap 1/1/2:0 create (atau “spoke-sdp …” kalau via MPLS)
– no shutdown

2. Pastikan Routing Nyambung
– Tambah static route kalau perlu:
– di Base router: ip-route x.x.x.x/yy next-hop z.z.z.z
– di VPRN: route-table sesuai VRF
– Test ping dari router ke PC/jaringan management:
– ping source

3. Buat User Lokal (opsional kalau AAA pakai RADIUS/TACACS)
– configure system security
– user “netops” password “S3cureP@ss!” access console member “administrative”
– Pastikan role/privilege sesuai kebijakan. Hindari user default tanpa password.

4. Nyalain SSH Server dan Generate Key
– configure system security ssh server
– key-generate type rsa key-size 2048
– port 22
– no shutdown
Tips:
– Buat yang pro-security, lo bisa matiin password auth dan pakai key-based:
– authentication public-key-only
– lalu upload public key ke user profile.
– Cek status:
– show system security ssh

5. Batasi Akses dengan Filter/ACL (Wajib Banget)
Jangan buka SSH ke semua orang. Minimal hanya izinkan subnet management lo.

– Bikin IP filter (ACL) yang ngebolehin TCP 22 dari sumber tertentu:
– configure filter ip-filter “ALLOW-SSH-MGMT”
– entry 10 action permit protocol tcp src-ip 192.0.2.0/24 dst-port 22
– entry 20 action permit protocol tcp established
– entry 100 action drop
– Apply ke interface inband (arah input):
– kalau di Base router:
– configure router interface “inband-mgmt” input filter “ALLOW-SSH-MGMT”
– kalau di VPRN:
– configure service vprn 100
– interface “inband-mgmt” input filter “ALLOW-SSH-MGMT”
Catatan:
– Beberapa network juga pakai cpm-filter untuk proteksi CPU. Kalau environment lo sudah menerapkan CPM/MPP, whitelist SSH di situ juga dan limit source-nya.

6. Simpan Konfigurasi dan Uji
– Save:
– admin save
– Tes dari PC:
– ssh netops@10.10.50.10 -p 22
– Kalau pakai VRF khusus di sisi klien, pastikan parameter VRF/nexthop di host sudah benar.

Troubleshooting Cepat
– Nggak bisa connect?
– Cek route dari PC ke IP inband router dan sebaliknya.
– Pastikan ACL/filter nggak nge-block. Sementara bisa allow dari host IP lo buat test.
– Cek SSH server status: show system security ssh
– Pastikan port fisik/interface up dan no shutdown.
– Connect tapi lambat/putus-putus?
– Cek CPU dan CPM rate-limit.
– Cek loss/duplex/error di port.
– Auth gagal?
– Cek user, password, atau public key. Pastikan user punya privilege yang cukup.

Best Practice dan Hardening
– Gunakan loopback untuk IP manajemen, lebih stabil.
– Batasi akses SSH hanya dari subnet NOC/management via ACL.
– Pertimbangkan key-based authentication dan matikan password:
– authentication public-key-only
– Ganti port default kalau perlu (security by obscurity bukan solusi utama, tapi lumayan bantu ngurangi noise).
– Enable logging untuk login sukses/gagal, pantau anomali.
– Kalau ada fitur management-access-policy/MPP di versi SR OS lo, whitelist hanya interface yang boleh nerima SSH.
– Pastikan time/NTP sinkron biar log enak ditrace.
– Backup config dan dokumentasi perubahan.

FAQ Mini
– Harus di Base router atau VPRN? Terserah desain. Banyak yang pakai VPRN khusus manajemen buat isolasi.
– Perlu lisensi? SSH biasanya included, tapi cek image/lisensi SR OS lo.
– Aman nggak inband? Aman kalau di-hardening: ACL ketat, key-based auth, dan proteksi CPM/MPP.

Penutup
Inband SSH di Nokia 7250 itu praktis dan cepat, asal konfigurasinya rapi dan keamanannya nggak dilupain. Ikuti langkah di atas: siapkan interface/IP, hidupkan SSH, batasi akses dengan ACL, lalu test. Done. Kalau versi SR OS lo punya fitur tambahan soal management plane, manfaatkan supaya makin aman. Selamat mencoba dan semoga sukses tanpa drama!