= सीबीएस 350: स्विच के नियमित ईथरनेट पोर्ट से प्रबंधन वेब इंटरफेस तक पहुंच को कैसे अक्षम करें? =

मुझे विभिन्न कंप्यूटरों से ईथरनेट ट्रैफ़िक को प्रबंधित करने के लिए CBS350 स्विच मिला। मेरा वर्तमान सेटअप कंप्यूटर के आईपीएमआई प्रबंधन इंटरफ़ेस तक पहुंच प्रदान करने के लिए पूरी तरह से अलग नेटवर्क का उपयोग करता है, और मैं सिस्को स्विच के लिए भी ऐसा ही करना चाहता हूं

स्विच ओओबी पोर्ट के माध्यम से आईपीएमआई नेटवर्क से जुड़ा हुआ है, और मैं इस नेटवर्क में किसी भी कंप्यूटर से प्रबंधन वेब इंटरफेस तक पहुंच सकता हूं। ऐसा लगता है कि CBS350 स्वयं भी एक DHCP सर्वर से एक IPv4 पता प्राप्त करता है जो किसी भी नियमित ईथरनेट पोर्ट से जुड़ा होता है, इसलिए यह उस नेटवर्क पर प्रबंधन वेब सर्वर को एक्सेस कर सकता है।

मैं इस व्यवहार को कैसे अक्षम करूं? कोई फर्क नहीं पड़ता कि प्रबंधन वेब सर्वर कितना सुरक्षित है, जल्दी या बाद में किसी को इसका फायदा उठाने की भेद्यता मिल जाएगी। मैं चाहता हूं कि प्रबंधन इंटरफ़ेस केवल ओओबी पोर्ट के माध्यम से उपलब्ध हो

मैंने IPv4 सेवाओं की कोशिश की, लेकिन ऐसा लगता है कि VLAN1 नियम को हटाने का कोई तरीका नहीं है। निकटतम चीज़ जो मैं कर सकता था वह यह थी कि इसे एक अप्राप्य स्थैतिक IP पते का उपयोग करने के लिए सेटअप किया जाए

वेब सर्वर को अक्षम करें = 'कोई http सर्वर नहीं'यदि आप vlan 1 नेटवर्क तक पहुँचने वाले पोर्ट नहीं चाहते हैं, तो उन पोर्ट्स को vlan 1 को असाइन न करें। अनधिकृत नेटवर्क/होस्ट के बीच रूटिंग को रोकने के लिए फ़ायरवॉल या ACL का उपयोग किया जाना चाहिए।

यह वास्तव में सरल है

वीएलएएन 1 के अलावा वीएलएएन पर होने के लिए आईपीवी 4 इंटरफ़ेस को कॉन्फ़िगर करें और एक स्थिर आईपी पता सेट करें। DHCP IPv4 प्रविष्टि को भी हटाएं

फिर अपनी पसंद के स्विच पोर्ट को उस वीएलएएन के साथ एक्सेस पोर्ट के रूप में कॉन्फ़िगर करें जिसे आपने पहले कॉन्फ़िगर किया था, और अब आपके पास ओओबी पोर्ट है। सुनिश्चित करें कि आप उस वीएलएएन को किसी भी ट्रंक में अनुमति नहीं देते हैं

सिस्को 9300 के अपने नेटवर्क पर मैं प्रबंधन विमान को वीआरएफ में ले जाता हूं और निम्नलिखित सेवाओं को उस वीआरएफ से जोड़ता हूं
टीएफटीपी
एसएसएच
एसएनएमपी
सिसलॉग
एनटीपी

नीचे सूचीबद्ध प्रासंगिक आदेशों का एक संक्षिप्त और स्वच्छ स्निपेट है: ! संस्करण 17.6! वीआरएफ परिभाषा एमजीएमटी-वीआरएफ पता-परिवार आईपीवी 4 निकास-पता-परिवार! स्विच 1 प्रावधान c9300-48t! इंटरफ़ेस GigabitEthernet0/0 vrf अग्रेषण Mgmt-vrf ip पता 10.2.10.247 255.255.255.0 ip एक्सेस-ग्रुप 103 में! कोई आईपी नहीं http सर्वर आईपी http एक्सेस-क्लास आईपीवी4 11 आईपी http प्रमाणीकरण स्थानीय कोई आईपी नहीं http सुरक्षित-सर्वर आईपी http सुरक्षित-सिफरसुइट आरएसए-एईएस-जीसीएम-शा2 आईपी http मैक्स-कनेक्शन 1 आईपी http क्लाइंट स्रोत-इंटरफ़ेस GigabitE ईथरनेट0/0 आईपी tftp स्रोत-इंटरफ़ेस GigabitEthernet0/0 ip tftp ब्लॉक आकार 1482 ip रूट vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh मैक्सस्टार्टअप 2 ip ssh टाइम-आउट 60 ip ssh स्रोत-इंटरफ़ेस GigabitE ईथरनेट0/0! लॉगिंग इतिहास सूचनात्मक लॉगिंग ट्रैप सूचनाएं लॉगिंग मूल-आईडी होस्टनाम लॉगिंग स्रोत-इंटरफ़ेस GigabitEthernet0/0 vrf Mgmt-vrf लॉगिंग snmp-जाल सूचनात्मक लॉगिंग होस्ट 192.168.10.252 vrf Mgmt-vrf! आईपी ​​​​पहुंच-सूची मानक 10 10 टिप्पणी फ़िल्टर एसएसएच प्रयास 20 परमिट 192.168.10.248 0.0.0.7 लॉग 30 परमिट 10.2.10.248 0.0.0.7 लॉग 40 किसी भी लॉग आईपी एक्सेस-सूची मानक को अस्वीकार करें 11 10 टिप्पणी लॉग HTTP प्रयास 20 किसी भी लॉग आईपी एक्सेस से इनकार करते हैं -सूची मानक 20 10 टिप्पणी फ़िल्टर NTP प्रयास 10 परमिट 192.168.10.101 20 किसी भी लॉग आईपी एक्सेस-सूची मानक को अस्वीकार करें 30 10 टिप्पणी SNMP कनेक्शन को अनुमति दें 20 परमिट 192.168.10.251 30 परमिट 192.168.10.252 40 किसी भी लॉग आईपी एक्सेस-सूची को अस्वीकार करें 103 10 टिप्पणी राउटर प्रबंधन में यातायात को प्रतिबंधित करें 10 परमिट UDP 192.168.10.248 0.0.0.7 होस्ट 10.2.10.247 EQ SNMP 20 परमिट UDP होस्ट 192.168.10.101 होस्ट 10.2.10.247 EQ NTP 30 परमिट TCP 192.168.10.248 0.0.248 0.0.248 0.0.248 0.248 0.248 0.248 0.248 0.248 0.248 परमिट udp 192.168.10.248 0.0.0.7 होस्ट 10.2.10.247 eq tftp 50 परमिट icmp 192.168.10.248 0.0.0.7 होस्ट 10.2.10.247 60 आईपी किसी भी होस्ट को अस्वीकार करें 10.2.10.247 लॉग! स्नैम्प-सर्वर ग्रुप सोलर v3 प्राइवेट कॉन्टेक्स्ट vlan-10 रीड MGMT एक्सेस 30 स्नैम्प-सर्वर ट्रैप-सोर्स गिगाबिटइथरनेट0/0 स्नैम्प-सर्वर होस्ट 192.168.10.252 vrf Mgmt-vrf वर्जन 3 प्राइवेट सोलर! एनटीपी लॉगिंग एनटीपी ऑथेंटिकेशन-की 1 एमडी5 एनटीपी ऑथेंटिकेंटप ट्रस्टेड-की 1 एनटीपी सोर्स गिगाबिट ईथरनेट0/0 एनटीपी एक्सेस-ग्रुप पीयर 20 एनटीपी सर्वर वीआरएफ एमजीएमटी-वीआरएफ 192.168.10.101! लाइन vty 0 1 सेशन-टाइमआउट 10 एक्सेस-क्लास 10 इन vrfname Mgmt-vrf लॉगिंग सिंक्रोनस एक्जीक्यूटिव प्रॉम्प्ट टाइमस्टैम्प हिस्ट्री साइज 100 ट्रांसपोर्ट प्रेफर्ड ssh ट्रांसपोर्ट इनपुट ssh! एक चेतावनी यह है कि डेटा प्लेन पोर्ट्स पर नेटफ्लो निरीक्षण प्रबंधन प्लेन को नहीं दिया जाएगा
ये स्विच हाउस हैं, प्रबंधन इंटरफ़ेस परत 3 के साथ कॉन्फ़िगर किए गए प्रत्येक vlan पर उपलब्ध है और आप उन्हें बंद नहीं कर सकते। आपको स्थिर IP पता रखने के लिए vlan 1 को बदलना होगा और फिर नेटवर्क तक पहुंच को रोकने के लिए ACL बनाना होगा, जिसकी पहुंच भी नहीं होनी चाहिए

प्रबंधन इंटरफ़ेस कॉन्फ़िगर किए गए प्रत्येक vlan पर उपलब्ध है
यह किसी भी अन्य l3 स्विच से कैसे भिन्न है? इसे रोकने के लिए आपको नियम बनाने होंगे।