r/Cisco - CBS 350: come disabilitare l'accesso all'interfaccia web di gestione dalle normali porte Ethernet dello switch?

= CBS 350: come disabilitare l'accesso all'interfaccia web di gestione dalle normali porte Ethernet dello switch? =

Ho uno switch CBS350 per gestire il traffico Ethernet da vari computer. La mia configurazione attuale utilizza una rete completamente separata per fornire l'accesso all'interfaccia di gestione IPMI dei computer e mi piacerebbe fare lo stesso per lo switch Cisco

Lo switch è collegato tramite la porta OOB alla rete IPMI e posso accedere all'interfaccia Web di gestione da qualsiasi computer in questa rete. Sembra che la stessa CBS350 ottenga anche un indirizzo IPv4 da un server DHCP connesso a una qualsiasi delle normali porte Ethernet, quindi può avere il server Web di gestione accessibile su quella rete

Come faccio a disabilitare questo comportamento? Non importa quanto sia sicuro il server Web di gestione, prima o poi qualcuno troverà una vulnerabilità per sfruttarla. Voglio che l'interfaccia di gestione sia disponibile solo tramite la porta OOB

Ho provato i servizi IPv4, ma sembra che non ci sia modo di eliminare la regola VLAN1. La cosa più vicina che potevo fare era configurarlo per utilizzare un indirizzo IP statico non instradabile

Disabilita il server web = 'nessun server http'Se non si desidera che le porte accedano alla rete vlan 1, non assegnare tali porte a vlan 1. È necessario utilizzare un firewall o un ACL per impedire il routing tra reti/host non autorizzati

È davvero semplice

Configurare la sua interfaccia IPv4 in modo che si trovi su una VLAN diversa dalla VLAN 1 e impostare un indirizzo IP statico. Elimina anche la voce DHCP IPv4

Quindi configura la porta dello switch di tua scelta come porta di accesso con quella VLAN che hai configurato in precedenza e ora hai una porta OOB. Assicurati di non consentire quella VLAN su nessun trunk

Sulla mia rete di Cisco 9300 sposto il piano di gestione su un vrf e collego i seguenti servizi a quel vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Di seguito è elencato uno snippet condensato e sterilizzato dei comandi pertinenti: ! versione 17.6! definizione vrf Mgmt-vrf indirizzo-famiglia ipv4 indirizzo-uscita-famiglia ! interruttore 1 disposizione c9300-48t! interfaccia GigabitEthernet0/0 vrf forwarding Mgmt-vrf indirizzo ip 10.2.10.247 255.255.255.0 gruppo di accesso ip 103 in ! no ip http server ip http classe di accesso ipv4 11 ip http autenticazione locale no ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client interfaccia-sorgente GigabitEthernet0/0 ip tftp interfaccia-sorgente GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh timeout 60 ip ssh interfaccia-sorgente GigabitEthernet0/0 ! registrazione cronologia registrazione informativa trap notifiche registrazione ID origine nome host registrazione interfaccia-origine GigabitEthernet0/0 vrf Mgmt-vrf registrazione snmp-trap registrazione informativa host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 note Filter SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 nega qualsiasi log ip access-list standard 11 10 note Log HTTP Attempts 20 nega qualsiasi log ip access -list standard 20 10 commento Filtro tentativi NTP 10 permit 192.168.10.101 20 nega qualsiasi log ip access-list standard 30 10 commento Consenti connessioni SNMP 20 permit 192.168.10.251 30 permit 192.168.10.252 40 nega qualsiasi log ip access-list esteso 103 10 Nota limitare il traffico nella gestione del router 10 consentire UDP 192.168.10.248 0.0.0.7 Host 10.2.10.247 EQ SNMP 20 autorizzazione UDP Host 192.168.10.101 Host 10.2.10.247 EQ NTP 30 Permetti TCP 192.168.10.248 0.0.0.0.0.2.2.2.10.247 Eq 2247 EQ EQ per autorizzazione TCP 192.168.10.248 0.0.0.0.0.0.0.2.2.20.247 EQ permesso udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permesso icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 negato ip qualsiasi host 10.2.10.247 log! snmp-server gruppo SOLAR v3 priv contesto vlan-10 lettura accesso MGMT 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf versione 3 priv SOLAR! ntp logging ntp chiave di autenticazione 1 md5 ntp authenticatentp chiave attendibile 1 sorgente ntp GigabitEthernet0/0 ntp gruppo di accesso peer 20 server ntp vrf Mgmt-vrf 192.168.10.101 ! riga vty 0 1 sessione-timeout 10 classe di accesso 10 in vrfname Mgmt-vrf registrazione sincrono exec prompt timestamp dimensione cronologia 100 trasporto preferito ssh input di trasporto ssh ! Un avvertimento è che l'ispezione Netflow sulle porte del piano dati non passerà al piano di gestione
Questi switch sono house, l'interfaccia di gestione è disponibile su ogni vlan configurata con layer 3 e non è possibile disattivarli. Dovrai modificare la vlan 1 per avere un indirizzo IP statico e quindi creare ACL per impedire l'accesso alle reti a cui non dovrebbe avere accesso

l'interfaccia di gestione è disponibile su ogni vlan configurato
In che modo è diverso da qualsiasi altro interruttore l3? È necessario creare regole per impedirlo.