= CBS 350: সুইচের নিয়মিত ইথারনেট পোর্ট থেকে পরিচালনা ওয়েব ইন্টারফেসে অ্যাক্সেস কীভাবে নিষ্ক্রিয় করবেন? =

আমি বিভিন্ন কম্পিউটার থেকে ইথারনেট ট্রাফিক পরিচালনা করার জন্য একটি CBS350 সুইচ পেয়েছি। আমার বর্তমান সেটআপ কম্পিউটারের আইপিএমআই ম্যানেজমেন্ট ইন্টারফেসে অ্যাক্সেস প্রদানের জন্য একটি সম্পূর্ণ আলাদা নেটওয়ার্ক ব্যবহার করে এবং আমি সিসকো সুইচের জন্য একই কাজ করতে চাই

সুইচটি OOB পোর্টের মাধ্যমে IPMI নেটওয়ার্কের সাথে সংযুক্ত করা হয়েছে এবং আমি এই নেটওয়ার্কের যেকোনো কম্পিউটার থেকে ব্যবস্থাপনা ওয়েব ইন্টারফেস অ্যাক্সেস করতে পারি। দেখে মনে হচ্ছে CBS350 নিজেই একটি DHCP সার্ভার থেকে একটি IPv4 ঠিকানা পায় যা নিয়মিত ইথারনেট পোর্টগুলির সাথে সংযুক্ত থাকে, তাই এটি সেই নেটওয়ার্কে ম্যানেজমেন্ট ওয়েব সার্ভার অ্যাক্সেসযোগ্য থাকতে পারে

আমি কিভাবে এই আচরণ অক্ষম করব? ব্যবস্থাপনা ওয়েব সার্ভার যতই সুরক্ষিত হোক না কেন, শীঘ্রই বা পরে কেউ এটিকে কাজে লাগানোর জন্য একটি দুর্বলতা খুঁজে পাবে। আমি ম্যানেজমেন্ট ইন্টারফেস শুধুমাত্র OOB পোর্টের মাধ্যমে উপলব্ধ হতে চাই

আমি IPv4 পরিষেবাগুলি চেষ্টা করেছি, কিন্তু মনে হচ্ছে VLAN1 নিয়ম মুছে ফেলার কোন উপায় নেই। আমি যা করতে পারতাম সবচেয়ে কাছের জিনিসটি ছিল একটি আনরাউটেবল স্ট্যাটিক আইপি ঠিকানা ব্যবহার করার জন্য এটি সেটআপ করা

ওয়েব সার্ভার অক্ষম করুন = 'কোনও HTTP সার্ভার নেই'আপনি যদি vlan 1 নেটওয়ার্কে পোর্টগুলি অ্যাক্সেস করতে না চান, তাহলে সেই পোর্টগুলিকে vlan 1 এ বরাদ্দ করবেন না। অননুমোদিত নেটওয়ার্ক/হোস্টের মধ্যে রাউটিং প্রতিরোধ করতে একটি ফায়ারওয়াল বা ACL ব্যবহার করা উচিত

এটা সত্যিই সহজ

এটির IPv4 ইন্টারফেস VLAN 1 ব্যতীত অন্য একটি VLAN-এ থাকতে কনফিগার করুন এবং একটি স্ট্যাটিক IP ঠিকানা সেট করুন। পাশাপাশি DHCP IPv4 এন্ট্রি মুছুন

তারপর আপনার পছন্দের সুইচ পোর্টটিকে অ্যাক্সেস পোর্ট হিসাবে কনফিগার করুন সেই VLAN এর সাথে যা আপনি আগে কনফিগার করেছিলেন এবং এখন আপনার কাছে একটি OOB পোর্ট রয়েছে। নিশ্চিত করুন যে আপনি কোনো ট্রাঙ্ক জুড়ে সেই VLAN-কে অনুমতি দেবেন না

আমার Cisco 9300-এর নেটওয়ার্কে আমি ম্যানেজমেন্ট প্লেনটিকে একটি ভিআরএফ-এ নিয়ে যাই এবং নিম্নলিখিত পরিষেবাগুলিকে সেই ভিআরএফ-এর সাথে সংযুক্ত করি
টিএফটিপি
এসএসএইচ
এসএনএমপি
SYSLOG
এনটিপি

নীচে প্রাসঙ্গিক কমান্ডগুলির একটি ঘনীভূত এবং স্যানিটাইজড স্নিপেট তালিকাভুক্ত করা হয়েছে: ! সংস্করণ 17.6! vrf সংজ্ঞা Mgmt-vrf ঠিকানা-পরিবার ipv4 প্রস্থান-ঠিকানা-পরিবার! সুইচ 1 বিধান c9300-48t! ইন্টারফেস GigabitEthernet0/0 vrf ফরওয়ার্ডিং Mgmt-vrf আইপি ঠিকানা 10.2.10.247 255.255.255.0 ip অ্যাক্সেস-গ্রুপ 103 ইন! কোন ip http সার্ভার ip http অ্যাক্সেস-ক্লাস ipv4 11 ip http প্রমাণীকরণ স্থানীয় কোন ip http নিরাপদ-সার্ভার ip http নিরাপদ-সিফারসুইট rsa-aes-gcm-sha2 ip http max-connections 1 ip http ক্লায়েন্ট সোর্স-ইন্টারফেস GigabitEthernet0/0 ip tftp উৎস-ইন্টারফেস GigabitEthernet0/0 ip tftp ব্লকসাইজ 1482 ip রুট vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh টাইম-আউট 60 ipthercebit/Source 60! লগিং ইতিহাস তথ্যগত লগিং ফাঁদ বিজ্ঞপ্তি লগিং অরিজিন-আইডি হোস্টনাম লগিং সোর্স-ইন্টারফেস GigabitEthernet0/0 vrf Mgmt-vrf লগিং snmp-ট্র্যাপ তথ্যগত লগিং হোস্ট 192.168.10.252 vrf Mgmt-vrf আইপি অ্যাক্সেস-লিস্ট স্ট্যান্ডার্ড 10 10 মন্তব্য ফিল্টার SSH প্রচেষ্টা 20 পারমিট 192.168.10.248 0.0.0.7 লগ 30 পারমিট 10.2.10.248 0.0.0.7 লগ 40 যেকোনো লগ অস্বীকার করুন ip অ্যাক্সেস-লিস্ট স্ট্যান্ডার্ড 1120 এ HTTP অ্যাক্সেসের মান 1120 রিলগ মার্ক করুন -লিস্ট স্ট্যান্ডার্ড 20 10 মন্তব্য ফিল্টার এনটিপি প্রচেষ্টা 10 অনুমতি 192.168.10.101 20 যেকোনো লগ আইপি অ্যাক্সেস-লিস্ট মান 30 10 মন্তব্য অনুমোদন করুন SNMP সংযোগগুলি 20 অনুমতি দিন 192.168.10.251 30 অনুমতি দিন 192.168.10.251 30 অনুমতি দিন 192.168.10.251 30 অনুমতি দিন 192.168.10.251 30 অনুমতি দিন। remark Restrict Traffic INTO Router Management 10 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq snmp 20 permit udp host 192.168.10.101 host 10.2.10.247 eq ntp 30 permit tcp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq 22 40 পারমিট udp 192.168.10.248 0.0.0.7 হোস্ট 10.2.10.247 eq tftp 50 পারমিট icmp 192.168.10.248 0.0.0.7 হোস্ট 10.2.10.247 হোস্ট 60.201 host201! snmp-সার্ভার গ্রুপ SOLAR v3 priv context vlan-10 MGMT অ্যাক্সেস 30 snmp-server trap-source GigabitEthernet0/0 snmp-সার্ভার হোস্ট 192.168.10.252 vrf Mgmt-vrf সংস্করণ 3 priv SOLAR! ntp লগিং ntp প্রমাণীকরণ-কী 1 md5 ntp প্রমাণীকরণ-কী 1 ntp উৎস GigabitEthernet0/0 ntp অ্যাক্সেস-গ্রুপ পিয়ার 20 ntp সার্ভার vrf Mgmt-vrf 192.168.10.101 ! লাইন vty 0 1 সেশন-টাইমআউট 10 অ্যাক্সেস-ক্লাস 10 ভিআরএফনামে Mgmt-vrf লগিং সিঙ্ক্রোনাস এক্সেসি প্রম্পট টাইমস্ট্যাম্প ইতিহাসের আকার 100 পরিবহন পছন্দের ssh পরিবহন ইনপুট ssh! একটি সতর্কতা হ'ল ডেটা প্লেন পোর্টগুলিতে নেটফ্লো পরিদর্শন পরিচালনা সমতলের কাছে যাবে না
এই সুইচগুলি হল হাউস, ম্যানেজমেন্ট ইন্টারফেসটি লেয়ার 3 এর সাথে কনফিগার করা প্রতিটি ভ্লানে উপলব্ধ এবং আপনি সেগুলি বন্ধ করতে পারবেন না। একটি স্ট্যাটিক আইপি ঠিকানা থাকতে আপনাকে vlan 1 পরিবর্তন করতে হবে এবং তারপরে নেটওয়ার্কগুলিতে অ্যাক্সেস রোধ করতে ACL তৈরি করতে হবে যাতে এটির অ্যাক্সেসও থাকা উচিত নয়।

ম্যানেজমেন্ট ইন্টারফেস কনফিগার করা প্রতিটি vlan এ উপলব্ধ
কিভাবে অন্য কোন l3 সুইচ থেকে ভিন্ন? এটি প্রতিরোধ করার জন্য আপনাকে নিয়ম তৈরি করতে হবে।