r/Cisco - CBS 350 : comment désactiver l'accès à l'interface Web de gestion à partir des ports Ethernet normaux du commutateur ?

= CBS 350 : comment désactiver l'accès à l'interface Web de gestion à partir des ports Ethernet normaux du commutateur ? =

J'ai obtenu un commutateur CBS350 pour gérer le trafic Ethernet de divers ordinateurs. Ma configuration actuelle utilise un réseau complètement séparé pour fournir un accès à l'interface de gestion IPMI des ordinateurs, et j'aimerais faire de même pour le commutateur Cisco

Le commutateur est connecté via le port OOB au réseau IPMI, et je peux accéder à l'interface Web de gestion à partir de n'importe quel ordinateur de ce réseau. Il semble que le CBS350 lui-même obtienne également une adresse IPv4 d'un serveur DHCP connecté à l'un des ports Ethernet réguliers, de sorte qu'il peut avoir le serveur Web de gestion accessible sur ce réseau.

Comment désactiver ce comportement ? Quelle que soit la sécurité du serveur Web de gestion, quelqu'un trouvera tôt ou tard une vulnérabilité pour l'exploiter. Je souhaite que l'interface de gestion ne soit disponible que via le port OOB

J'ai essayé les services IPv4, mais il semble qu'il n'y ait aucun moyen de supprimer la règle VLAN1. La chose la plus proche que je pouvais faire était de le configurer pour utiliser une adresse IP statique non routable

Désactiver le serveur Web = 'pas de serveur http'Si vous ne voulez pas que les ports accèdent au réseau vlan 1, n'attribuez pas ces ports au vlan 1. Un pare-feu ou une ACL doit être utilisé pour empêcher le routage entre des réseaux/hôtes non autorisés

C'est vraiment simple

Configurez son interface IPv4 sur un VLAN autre que VLAN 1 et définissez une adresse IP statique. Supprimez également l'entrée DHCP IPv4

Configurez ensuite le port de commutateur de votre choix en tant que port d'accès avec ce VLAN que vous avez configuré précédemment, et vous avez maintenant un port OOB. Assurez-vous de ne pas autoriser ce VLAN sur les troncs

Sur mon réseau de Cisco 9300, je déplace le plan de gestion vers un vrf et lie les services suivants à ce vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Vous trouverez ci-dessous un extrait condensé et épuré des commandes pertinentes : ! version 17.6 ! définition vrf Mgmt-vrf address-family ipv4 exit-address-family ! interrupteur 1 disposition c9300-48t ! interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 10.2.10.247 255.255.255.0 ip access-group 103 in ! non ip serveur http ip classe d'accès http ipv4 11 ip authentification http locale non ip http serveur sécurisé ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh timeout 60 ip ssh source-interface GigabitEthernet0/0 ! journalisation historique journalisation informative trap notifications journalisation origin-id hostname journalisation source-interface GigabitEthernet0/0 vrf Mgmt-vrf journalisation snmp-trap journalisation informative host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 remarque Filter SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 deny any log ip access-list standard 11 10 remarque Log HTTP Attempts 20 deny any log ip access -list standard 20 10 remarque Filter NTP Tentatives 10 permit 192.168.10.101 20 deny any log ip access-list standard 30 10 remarque Allow SNMP Connections 20 permit 192.168.10.251 30 permit 192.168.10.252 40 deny any log ip access-list extended 103 10 Remarque restreignez le trafic dans la gestion du routeur 10 permis UDP 192.168.10.248 0.0.0.7 Host 10.2.10.247 EQ SNMP 20 Permis UDP HOST 192.168.10.101 HOST 10.2.10.247 EQ NTP 30 Permis TCP 192.168.10.248 0.0.0.7 Host 10.20 autoriser udp 192.168.10.248 0.0.0.7 hôte 10.2.10.247 équip. snmp-server group SOLAR v3 priv context vlan-10 read MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf version 3 priv SOLAR ! journalisation ntp clé d'authentification ntp 1 md5 ntp authentication-clé de confiance 1 source ntp GigabitEthernet0/0 pair de groupe d'accès ntp 20 serveur ntp vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf logging synchronous exec prompt timestamp history size 100 transport prefered ssh transport input ssh ! Une mise en garde est que l'inspection Netflow sur les ports du plan de données ne passera pas au plan de gestion
Ces commutateurs sont internes, l'interface de gestion est disponible sur chaque vlan configuré avec la couche 3 et vous ne pouvez pas les désactiver. Vous devrez changer le vlan 1 pour avoir une adresse IP statique puis créer des ACL pour empêcher l'accès aux réseaux auxquels il ne devrait pas avoir accès trop

l'interface de gestion est disponible sur chaque vlan configuré
En quoi est-ce différent de tout autre commutateur l3 ? Vous devez créer des règles pour empêcher cela.