r/Cisco – CBS 350: Wie kann der Zugriff auf die Management-Weboberfläche von den regulären Ethernet-Ports des Switches deaktiviert werden?

= CBS 350: Wie kann der Zugriff auf die Management-Weboberfläche von den regulären Ethernet-Ports des Switches deaktiviert werden? =

Ich habe einen CBS350-Switch, um den Ethernet-Verkehr von verschiedenen Computern zu verwalten. Mein aktuelles Setup verwendet ein vollständig getrenntes Netzwerk, um den Zugriff auf die IPMI-Verwaltungsschnittstelle der Computer bereitzustellen, und ich möchte dasselbe für den Cisco-Switch tun

Der Switch ist über den OOB-Port mit dem IPMI-Netzwerk verbunden, und ich kann von jedem Computer in diesem Netzwerk aus auf die Management-Webschnittstelle zugreifen. Es sieht so aus, als ob der CBS350 selbst auch eine IPv4-Adresse von einem DHCP-Server erhält, der mit einem der regulären Ethernet-Ports verbunden ist, sodass der Verwaltungs-Webserver über dieses Netzwerk zugänglich ist

Wie deaktiviere ich dieses Verhalten? Egal wie sicher der Management-Webserver ist, früher oder später findet jemand eine Schwachstelle, um ihn auszunutzen. Ich möchte, dass die Verwaltungsschnittstelle nur über den OOB-Port verfügbar ist

Ich habe IPv4-Dienste ausprobiert, aber es sieht so aus, als gäbe es keine Möglichkeit, die VLAN1-Regel zu löschen. Das nächste, was ich tun konnte, war, es so einzurichten, dass es eine nicht routbare statische IP-Adresse verwendet

Webserver deaktivieren = 'kein HTTP-Server'Wenn Sie nicht möchten, dass Ports auf das VLAN 1-Netzwerk zugreifen, weisen Sie diese Ports nicht VLAN 1 zu. Eine Firewall oder ACL sollte verwendet werden, um das Routing zwischen nicht autorisierten Netzwerken/Hosts zu verhindern

Es ist wirklich einfach

Konfigurieren Sie die IPv4-Schnittstelle so, dass sie sich in einem anderen VLAN als VLAN 1 befindet, und legen Sie eine statische IP-Adresse fest. Löschen Sie auch den Eintrag DHCP IPv4

Konfigurieren Sie dann den Switch-Port Ihrer Wahl als Zugriffsport mit dem VLAN, das Sie zuvor konfiguriert haben, und jetzt haben Sie einen OOB-Port. Stellen Sie sicher, dass Sie dieses VLAN nicht über Trunks zulassen

In meinem Netzwerk von Cisco 9300 verschiebe ich die Verwaltungsebene auf ein vrf und binde die folgenden Dienste an dieses vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Nachfolgend ist ein komprimierter und bereinigter Ausschnitt relevanter Befehle aufgeführt: ! Version 17.6 ! vrf definition Mgmt-vrf address-family ipv4 exit-address-family ! schalter 1 rückstellung c9300-48t ! Schnittstelle GigabitEthernet0/0 vrf Weiterleitung Mgmt-vrf IP-Adresse 10.2.10.247 255.255.255.0 IP-Zugriffsgruppe 103 in ! no ip http server ip http access-class ipv4 11 ip http authentication local nein ip http sicherer Server ip http sichere Verschlüsselungssuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp Quellschnittstelle GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh timeout 60 ip ssh Quellschnittstelle GigabitEthernet0/0 ! Protokollierungsverlauf Informationen Protokollierung Trap-Benachrichtigungen Protokollierung Ursprungs-ID Hostname Protokollierung Quellschnittstelle GigabitEthernet0/0 vrf Mgmt-vrf Protokollierung snmp-trap Information Protokollierung Host 192.168.10.252 vrf Mgmt-vrf ! IP-Zugriffsliste Standard 10 10 Bemerkung Filter SSH-Versuche 20 Erlaubnis 192.168.10.248 0.0.0.7 Protokoll 30 Erlaubnis 10.2.10.248 0.0.0.7 Protokoll 40 verweigern alle Protokolle IP-Zugriffsliste Standard 11 10 Bemerkung Protokoll HTTP-Versuche 20 verweigern jeglichen Protokoll-IP-Zugriff -Liste Standard 20 10 Bemerkung NTP-Versuche filtern 10 Zulassen 192.168.10.101 20 Jeden Protokoll-IP-Zugriff verweigern-Liste Standard 30 10 Bemerkung SNMP-Verbindungen zulassen 20 Zulassen 192.168.10.251 30 Zulassen 192.168.10.252 40 Jeden Protokoll-IP-Zugriff verweigern-Liste erweitert 103 10 Bemerkung einschränken den Verkehr in Router Management 10 Erlaubnis UDP 192.168.10.248 0.0.0.7 Host 10.2.10.247 EQ SNMP 20 Erlaubnis UDP Host 192.168.10.101 Host 10.2.10.247 EQ NTP 30 Erlaubnis TCP 192.168.248 0.0.0.7 Host 10.20.247 EQ 220.248 0.0.0.7 Host 102.247 EQ 220.248 0.0.0.7 Host 10.247 EQ 220.248 udp zulassen 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 icmp zulassen 192.168.10.248 0.0.0.7 host 10.2.10.247 60 ip jedem host 10.2.10.247 verweigern log ! SNMP-Server-Gruppe SOLAR v3 priv Kontext vlan-10 lesen MGMT-Zugriff 30 SNMP-Server Trap-Quelle GigabitEthernet0/0 ntp-Protokollierung ntp-Authentifizierungsschlüssel 1 md5 ntp Authenticatentp Trusted-Key 1 ntp-Quelle GigabitEthernet0/0 ntp-Zugriffsgruppe Peer 20 ntp-Server vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf protokollierung synchron exec prompt timestamp history size 100 transport bevorzugt ssh transport input ssh ! Eine Einschränkung ist, dass die Netflow-Inspektion auf Datenebenenports nicht an die Verwaltungsebene übergeben wird
Diese Switches sind hausintern, die Verwaltungsschnittstelle ist in jedem VLAN verfügbar, das mit Layer 3 konfiguriert ist, und Sie können sie nicht ausschalten. Sie müssen das vlan 1 so ändern, dass es eine statische IP-Adresse hat, und dann ACLs erstellen, um den Zugriff auf die Netzwerke zu verhindern, auf die es auch keinen Zugriff haben sollte

Die Verwaltungsschnittstelle ist auf jedem konfigurierten VLAN verfügbar
Wie unterscheidet sich das von jedem anderen l3-Switch? Sie müssen Regeln erstellen, um dies zu verhindern.