r/Cisco - CBS 350: ¿cómo deshabilitar el acceso a la interfaz web de administración desde los puertos Ethernet normales del switch?

= CBS 350: ¿cómo deshabilitar el acceso a la interfaz web de administración desde los puertos Ethernet normales del conmutador? =

Obtuve un conmutador CBS350 para administrar el tráfico de Ethernet desde varias computadoras. Mi configuración actual usa una red completamente separada para brindar acceso a la interfaz de administración de IPMI de las computadoras, y me gustaría hacer lo mismo con el conmutador de Cisco

El conmutador está conectado a través del puerto OOB a la red IPMI y puedo acceder a la interfaz web de administración desde cualquier computadora en esta red. Parece que el propio CBS350 también obtiene una dirección IPv4 de un servidor DHCP que está conectado a cualquiera de los puertos Ethernet normales, por lo que puede tener acceso al servidor web de administración en esa red.

¿Cómo deshabilito este comportamiento? No importa qué tan seguro sea el servidor web de administración, tarde o temprano alguien encontrará una vulnerabilidad para explotarlo. Quiero que la interfaz de administración solo esté disponible a través del puerto OOB

Probé los servicios de IPv4, pero parece que no hay forma de eliminar la regla VLAN1. Lo más parecido que pude hacer fue configurarlo para usar una dirección IP estática no enrutable

Deshabilitar el servidor web = 'sin servidor http'Si no desea que los puertos accedan a la red vlan 1, no asigne esos puertos a la vlan 1. Se debe usar un firewall o ACL para evitar el enrutamiento entre redes/hosts no autorizados.

es realmente simple

Configure su interfaz IPv4 para que esté en una VLAN que no sea la VLAN 1 y establezca una dirección IP estática. Elimine también la entrada DHCP IPv4

Luego, configure el puerto del conmutador de su elección como un puerto de acceso con esa VLAN que configuró anteriormente, y ahora tiene un puerto OOB. Asegúrese de no permitir esa VLAN en ningún enlace troncal

En mi red de Cisco 9300, muevo el plano de administración a un vrf y vinculo los siguientes servicios a ese vrf
TFTP
SSH
SNMP
SYSLOG
NTP

A continuación, se incluye un fragmento condensado y desinfectado de comandos relevantes: ! versión 17.6! vrf definición Mgmt-vrf dirección-familia ipv4 salida-dirección-familia ! cambiar 1 provisión c9300-48t ! interfaz GigabitEthernet0/0 vrf reenvío Mgmt-vrf dirección IP 10.2.10.247 255.255.255.0 grupo de acceso IP 103 en ! no ip servidor http ip http access-class ipv4 11 ip http autenticación local no ip http servidor seguro ip http suite de cifrado seguro rsa-aes-gcm-sha2 ip http max-connections 1 ip http cliente fuente-interfaz GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0/0 ! historial de registro registro informativo notificaciones de trampa registro origen-id nombre de host registro fuente-interfaz GigabitEthernet0/0 vrf Mgmt-vrf registro snmp-trap informativo registro host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 comentario Filtro SSH Intentos 20 permiso 192.168.10.248 0.0.0.7 log 30 permiso 10.2.10.248 0.0.0.7 log 40 denegar cualquier registro ip access-list standard 11 10 comentario Log HTTP Attempts 20 deny any log ip access -lista estándar 20 10 comentario Filtrar intentos NTP 10 permiso 192.168.10.101 20 denegar cualquier registro IP lista de acceso estándar 30 10 comentario Permitir conexiones SNMP 20 permiso 192.168.10.251 30 permiso 192.168.10.252 40 denegar cualquier registro IP lista de acceso extendida 103 10 Observación restringir el tráfico a la gestión del enrutador 10 Permiso UDP 192.168.10.248 0.0.0.7 Host 10.2.10.247 EQ SNMP 20 Permiso UDP Host 192.168.10.101 Host 10.2.10.247 EQ NTP 30 Permit TCP 192.168.10.248 0.0.0.0 Host 10.2.10.247 Eq 40 permitir udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permitir icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 denegar ip cualquier host 10.2.10.247 log ! snmp-server group SOLAR v3 priv context vlan-10 read MGMT acceso 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf versión 3 priv SOLAR ! registro ntp clave de autenticación ntp 1 md5 ntp authenticatentp clave de confianza 1 fuente ntp GigabitEthernet0/0 par de grupo de acceso ntp 20 servidor ntp vrf Mgmt-vrf 192.168.10.101 ! línea vty 0 1 tiempo de espera de sesión 10 clase de acceso 10 en vrfname Mgmt-vrf registro síncrono exec indicador marca de tiempo historial tamaño 100 transporte ssh preferido entrada de transporte ssh ! Una advertencia es que la inspección de Netflow en los puertos del plano de datos no pasará al plano de gestión
Estos switches son internos, la interfaz de administración está disponible en cada vlan configurada con la capa 3 y no puede apagarlos. Deberá cambiar la vlan 1 para tener una dirección IP estática y luego crear ACL para evitar el acceso a las redes a las que no debería tener acceso también.

la interfaz de administración está disponible en cada vlan configurada
¿En qué se diferencia de cualquier otro interruptor l3? Es necesario crear reglas para evitar esto.