= CBS 350: كيفية تعطيل الوصول إلى واجهة ويب الإدارة من منافذ Ethernet العادية للمحول؟ =

حصلت على مفتاح CBS350 لإدارة حركة مرور Ethernet من أجهزة كمبيوتر مختلفة. يستخدم الإعداد الحالي الخاص بي شبكة منفصلة تمامًا لتوفير الوصول إلى واجهة إدارة IPMI لأجهزة الكمبيوتر ، وأود أن أفعل الشيء نفسه لمحول Cisco

يتم توصيل المحول عبر منفذ OOB بشبكة IPMI ، ويمكنني الوصول إلى واجهة ويب الإدارة من أي كمبيوتر في هذه الشبكة. يبدو أن CBS350 نفسها تحصل أيضًا على عنوان IPv4 من خادم DHCP المتصل بأي من منافذ Ethernet العادية ، بحيث يمكن الوصول إلى خادم ويب الإدارة على تلك الشبكة

كيف يمكنني تعطيل هذا السلوك؟ بغض النظر عن مدى أمان خادم ويب الإدارة ، سيجد شخص ما عاجلاً أم آجلاً ثغرة لاستغلالها. أريد أن تكون واجهة الإدارة متاحة فقط من خلال منفذ OOB

لقد جربت خدمات IPv4 ، لكن يبدو أنه لا توجد طريقة لحذف قاعدة VLAN1. كان أقرب شيء يمكنني فعله هو إعداده لاستخدام عنوان IP ثابت غير قابل للتوجيه

تعطيل خادم الويب = "لا يوجد خادم http"إذا كنت لا تريد وصول المنافذ إلى شبكة vlan 1 ، فلا تقم بتعيين هذه المنافذ إلى شبكة محلية ظاهرية 1. يجب استخدام جدار حماية أو قائمة التحكم بالوصول (ACL) لمنع التوجيه بين الشبكات / المضيفات غير المصرح بها

انها حقا بسيطة

قم بتكوين واجهة IPv4 الخاصة بها لتكون على شبكة محلية ظاهرية غير VLAN 1 وتعيين عنوان IP ثابت. احذف إدخال DHCP IPv4 أيضًا

ثم قم بتكوين منفذ التبديل الذي تختاره كمنفذ وصول باستخدام شبكة VLAN التي قمت بتكوينها مسبقًا ، والآن لديك منفذ OOB. تأكد من عدم السماح لشبكة VLAN هذه عبر أي قنوات

على شبكتي من Cisco 9300's ، قمت بنقل مستوى الإدارة إلى vrf وربط الخدمات التالية بتلك vrf
TFTP
SSH
SNMP
سجل
NTP

المدرجة أدناه هي مقتطفات مختصرة ومعقمة من الأوامر ذات الصلة:! الإصدار 17.6! تعريف vrf عنوان Mgmt-vrf-family ipv4 exit-address-family! التبديل 1 توفير c9300-48t! واجهة GigabitEthernet0 / 0 vrf إعادة توجيه Mgmt-vrf عنوان IP 10.2.10.247 255.255.255.0 ip access-group 103 in! no ip http server ip http access-class ipv4 11 ip http المصادقة المحلية no ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-links 1 ip http client source-interface GigabitEthernet0 / 0 ip tftp واجهة المصدر GigabitEthernet0 / 0 ip tftp blockize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0 / 0! سجل التسجيل إعلامات تسجيل المعلومات إخطارات فخ تسجيل الأصل-معرف اسم المضيف واجهة المصدر جيجابت إيثرنت 0/0 vrf Mgmt-vrf تسجيل snmp-trap مضيف التسجيل الإعلامي 192.168.10.252 vrf Mgmt-vrf! معيار قائمة الوصول إلى عنوان IP 10 10 ملاحظات تصفية محاولات SSH 20 تصريح 192.168.10.248 0.0.0.7 تصريح تسجيل 30 10.2.10.248 0.0.0.7 سجل 40 رفض أي سجل لقائمة الوصول إلى عنوان IP 11 10 ملاحظة تسجيل محاولات HTTP 20 رفض أي وصول إلى عنوان IP للسجل -قائمة قياسية 20 10 ملاحظة محاولات NTP 10 تصريح 192.168.10.101 20 رفض أي سجل لقائمة الوصول إلى عنوان IP القياسي 30 10 ملاحظة السماح لاتصالات SNMP 20 تصريح 192.168.10.251 30 تصريح 192.168.10.252 40 رفض أي قائمة وصول سجل IP ممتدة 103 10 ملاحظة تقييد حركة المرور INTO Router Management 10 تصريح udp 192.168.10.248 0.0.0.7 مضيف 10.2.10.247 eq snmp 20 تصريح مضيف udp 192.168.10.101 مضيف 10.2.10.247 eq ntp 30 تصريح tcp 192.168.10.248 0.0.0.7 مضيف 10.2.10.247 مكافئ 22 40 تصريح udp 192.168.10.248 0.0.0.7 مضيف 10.2.10.247 eq tftp 50 تصريح icmp 192.168.10.248 0.0.0.7 مضيف 10.2.10.247 60 رفض IP أي مضيف سجل 10.2.10.247! مجموعة خادم snmp SOLAR v3 سياق خاص vlan-10 قراءة وصول MGMT 30 snmp-server trap-source GigabitEthernet0 / 0 مضيف خادم snmp 192.168.10.252 vrf Mgmt-vrf الإصدار 3 خاص SOLAR! ntp logging ntp المصادقة مفتاح 1 md5 ntp المصادقة الموثوقة 1 مصدر ntp جيجابت إيثرنت 0/0 ntp access-group peer 20 ntp server vrf Mgmt-vrf 192.168.10.101! سطر vty 0 1 مهلة الجلسة 10 وصول فئة 10 في اسم vrfname Mgmt-vrf تسجيل متزامن exec موجه طابع زمني محفوظات حجم 100 النقل المفضل ssh ، إدخال النقل ssh! أحد التحذيرات هو أن فحص Netflow على منافذ مستوى البيانات لن ينتقل إلى مستوى الإدارة
هذه المحولات موجودة ، تتوفر واجهة الإدارة في كل شبكة محلية ظاهرية تم تكوينها مع الطبقة 3 ولا يمكنك إيقاف تشغيلها. ستحتاج إلى تغيير vlan 1 للحصول على عنوان IP ثابت ثم إنشاء قوائم ACL لمنع الوصول إلى الشبكات التي لا ينبغي لها الوصول إليها أيضًا

تتوفر واجهة الإدارة في كل شبكة محلية ظاهرية تم تكوينها
كيف يختلف ذلك عن أي مفتاح l3 آخر؟ تحتاج إلى إنشاء قواعد لمنع ذلك.