r/Cisco - CBS 350: πώς να απενεργοποιήσετε την πρόσβαση στη διεπαφή ιστού διαχείρισης από τις κανονικές θύρες Ethernet του μεταγωγέα;

= CBS 350: πώς να απενεργοποιήσετε την πρόσβαση στη διεπαφή ιστού διαχείρισης από τις κανονικές θύρες Ethernet του μεταγωγέα; =

Πήρα ένα διακόπτη CBS350 για τη διαχείριση της κίνησης Ethernet από διάφορους υπολογιστές. Η τρέχουσα εγκατάσταση χρησιμοποιεί ένα εντελώς διαχωρισμένο δίκτυο για την παροχή πρόσβασης στη διεπαφή διαχείρισης IPMI των υπολογιστών και θα ήθελα να κάνω το ίδιο για το Cisco switch

Ο διακόπτης είναι συνδεδεμένος μέσω της θύρας OOB στο δίκτυο IPMI και μπορώ να έχω πρόσβαση στη διεπαφή Web διαχείρισης από οποιονδήποτε υπολογιστή σε αυτό το δίκτυο. Φαίνεται ότι το ίδιο το CBS350 λαμβάνει επίσης μια διεύθυνση IPv4 από έναν διακομιστή DHCP που είναι συνδεδεμένος σε οποιαδήποτε από τις κανονικές θύρες Ethernet, ώστε να μπορεί να έχει πρόσβαση στον διακομιστή Web διαχείρισης σε αυτό το δίκτυο

Πώς μπορώ να απενεργοποιήσω αυτήν τη συμπεριφορά; Ανεξάρτητα από το πόσο ασφαλής είναι ο διακομιστής Web διαχείρισης, αργά ή γρήγορα κάποιος θα βρει μια ευπάθεια για να τον εκμεταλλευτεί. Θέλω η διεπαφή διαχείρισης να είναι διαθέσιμη μόνο μέσω της θύρας OOB

Δοκίμασα υπηρεσίες IPv4, αλλά φαίνεται ότι δεν υπάρχει τρόπος να διαγράψω τον κανόνα VLAN1. Το πιο κοντινό πράγμα που μπορούσα να κάνω ήταν να το ρυθμίσω ώστε να χρησιμοποιεί μια στατική διεύθυνση IP που δεν μπορεί να δρομολογηθεί

Απενεργοποιήστε τον διακομιστή ιστού = 'δεν υπάρχει διακομιστής http'Εάν δεν θέλετε οι θύρες να έχουν πρόσβαση στο δίκτυο vlan 1, μην εκχωρήσετε αυτές τις θύρες στο vlan 1. Θα πρέπει να χρησιμοποιείται ένα τείχος προστασίας ή ACL για την αποτροπή δρομολόγησης μεταξύ μη εξουσιοδοτημένων δικτύων/κεντρικών υπολογιστών

Είναι πραγματικά απλό

Διαμορφώστε τη διεπαφή IPv4 ώστε να είναι σε VLAN διαφορετικό από το VLAN 1 και ορίστε μια στατική διεύθυνση IP. Διαγράψτε επίσης την καταχώρηση DHCP IPv4

Στη συνέχεια, διαμορφώστε τη θύρα μεταγωγέα της επιλογής σας ως θύρα πρόσβασης με αυτό το VLAN που ρυθμίσατε νωρίτερα και τώρα έχετε μια θύρα OOB. Βεβαιωθείτε ότι δεν επιτρέπετε αυτό το VLAN σε κανένα trunk

Στο δίκτυό μου των Cisco 9300 μεταφέρω το επίπεδο διαχείρισης σε ένα vrf και συνδέω τις ακόλουθες υπηρεσίες σε αυτό το vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Παρακάτω παρατίθεται ένα συμπυκνωμένο και αποστειρωμένο απόσπασμα σχετικών εντολών: ! έκδοση 17.6! ορισμός vrf Mgmt-vrf διεύθυνση-οικογένεια ipv4 έξοδος-διεύθυνση-οικογένεια ! διακόπτης 1 παροχή c9300-48t ! διεπαφή GigabitEthernet0/0 vrf προώθηση Mgmt-vrf διεύθυνση IP 10.2.10.247 255.255.255.0 ip Access-group 103 in ! όχι ip http διακομιστής ip http πρόσβαση-κλάση ipv4 11 ip http έλεγχος ταυτότητας τοπικό όχι ip http ασφαλής-διακομιστής ip http ασφαλής κρυπτογράφηση rsa-aes-gcm-sha2 ip http max-συνδέσεις 1 ip http πηγή-διεπαφή πελάτη GigabitEthernet0/0 ip tftp πηγή-διασύνδεση GigabitEthernet0/0 ip tftp blocksize 1482 ip διαδρομή vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh sourceshga-inter 60 bit! ιστορικό καταγραφής πληροφοριακή καταγραφή ειδοποιήσεις παγίδευση καταγραφή προέλευση-αναγνωριστικό όνομα κεντρικού υπολογιστή καταγραφή πηγή-διεπαφή GigabitEthernet0/0 vrf Mgmt-vrf καταγραφή snmp-trap ενημερωτικός κεντρικός υπολογιστής καταγραφής 192.168.10.252 vrf Mgmt-vrf ! Πρότυπο λίστας πρόσβασης ip 10 10 παρατήρηση Φίλτρο SSH Προσπάθειες 20 άδεια 192.168.10.248 0.0.0.7 log 30 άδεια 10.2.10.248 0.0.0.7 αρχείο καταγραφής 40 άρνηση οποιουδήποτε αρχείου καταγραφής πρόσβασης-λίστας πρόσβασης 0.168.10.248 0.0.0.7 -λίστα πρότυπο 20 10 παρατήρηση Φίλτρο NTP Προσπάθειες 10 άδεια 192.168.10.101 20 άρνηση οποιασδήποτε log ip πρόσβασης-λίστα τυπική 30 10 παρατήρηση Επιτρέπονται οι συνδέσεις SNMP 20 άδεια 192.168.10.251 30 άδεια πρόσβασης 192.168.10.251. Η παρατήρηση περιορίζει την κυκλοφορία στη διαχείριση του δρομολογητή 10 Άδεια UDP 192.168.10.248 0.0.0.7 HOST 10.2.10.247 EQ SNMP 20 Άδεια UDP HOST 192.168.10.101 HOST 10.2.10.247 EQ NTP 30 Άδεια TCP 192.168.10.248 0.0.0.7 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permit icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 any110ip! snmp-server group SOLAR v3 priv context vlan-10 read MGMT Access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf έκδοση 3 priv SOLAR ! ntp καταγραφή κλειδί ελέγχου ταυτότητας ntp 1 md5 ntp authenticatentp αξιόπιστο κλειδί 1 ntp πηγή GigabitEthernet0/0 ntp πρόσβαση-ομάδα ομότιμη διακομιστή 20 ntp vrf Mgmt-vrf 192.168.10.1 ! γραμμή vty 0 1 περίοδος λήξης χρονικού ορίου 10 κλάσης πρόσβασης 10 σε vrfname Καταγραφή Mgmt-vrf σύγχρονη χρονική σήμανση exec μέγεθος 100 μεταφορά προτιμώμενη είσοδος μεταφοράς ssh ssh ! Μια προειδοποίηση είναι ότι η επιθεώρηση Netflow στις θύρες επιπέδου δεδομένων δεν θα περάσει στο επίπεδο διαχείρισης
Αυτοί οι διακόπτες είναι σπίτι, η διεπαφή διαχείρισης είναι διαθέσιμη σε κάθε vlan που έχει ρυθμιστεί με το επίπεδο 3 και δεν μπορείτε να τους απενεργοποιήσετε. Θα χρειαστεί να αλλάξετε το vlan 1 ώστε να έχει στατική διεύθυνση IP και στη συνέχεια να δημιουργήσετε ACL για να αποτρέψετε την πρόσβαση στα δίκτυα στα οποία δεν θα έπρεπε να έχει πρόσβαση επίσης

η διεπαφή διαχείρισης είναι διαθέσιμη σε κάθε vlan που έχει ρυθμιστεί
Σε τι διαφέρει από οποιονδήποτε άλλο διακόπτη l3; Πρέπει να δημιουργήσετε κανόνες για να το αποτρέψετε αυτό.