= CBS 350: スイッチの通常のイーサネット ポートから管理 Web インターフェイスへのアクセスを無効にする方法は? =

さまざまなコンピューターからのイーサネット トラフィックを管理するために、CBS350 スイッチを入手しました。私の現在のセットアップでは、完全に分離されたネットワークを使用して、コンピューターの IPMI 管理インターフェイスへのアクセスを提供しています。Cisco スイッチについても同じことをしたいと考えています。

スイッチは OOB ポートを介して IPMI ネットワークに接続されており、このネットワーク内の任意のコンピューターから管理 Web インターフェイスにアクセスできます。 CBS350 自体も、通常のイーサネット ポートのいずれかに接続されている DHCP サーバーから IPv4 アドレスを取得しているようで、そのネットワーク上で管理 Web サーバーにアクセスできるようになっています。

この動作を無効にするにはどうすればよいですか?管理 Web サーバーがどれほど安全であっても、遅かれ早かれ誰かがそれを悪用する脆弱性を発見します。管理インターフェイスを OOB ポート経由でのみ使用できるようにしたい

IPv4 サービスを試してみましたが、VLAN1 ルールを削除する方法がないようです。私ができる最も近いことは、ルーティング不可能な静的IPアドレスを使用するようにセットアップすることでした

Web サーバーを無効にする = 「http サーバーなし」
ポートが vlan 1 ネットワークにアクセスしたくない場合は、それらのポートを vlan 1 に割り当てないでください。許可されていないネットワーク/ホスト間のルーティングを防ぐために、ファイアウォールまたは ACL を使用する必要があります。

それは本当に簡単です

その IPv4 インターフェイスを VLAN 1 以外の VLAN 上に構成し、静的 IP アドレスを設定します。 DHCP IPv4 エントリも削除します

次に、選択したスイッチ ポートを、前に構成した VLAN のアクセス ポートとして構成すると、OOB ポートが作成されます。その VLAN がどのトランクでも許可されていないことを確認してください

Cisco 9300 のネットワークで、管理プレーンを VRF に移動し、次のサービスをその VRF に関連付けます。
TFTP
SSH
SNMP
シスログ
NTP

以下は、関連するコマンドの要約とサニペットの抜粋です。バージョン 17.6 ! vrf 定義 Mgmt-vrf アドレス ファミリ ipv4 出口アドレス ファミリ !スイッチ 1 プロビジョニング c9300-48t ! interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 10.2.10.247 255.255.255.0 ip access-group 103 in ! no ip http server ip http access-class ipv4 11 ip http authentication local no ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0/0 ! logging history informational logging trap notifications logging origin-id hostname logging source-interface GigabitEthernet0/0 vrf Mgmt-vrf logging snmp-trap informational logging host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 remark Filter SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 deny any log ip access-list standard 11 10 remark Log HTTP Attempts 20 deny any log ip access -list standard 20 10 remark Filter NTP Attempts 10 permit 192.168.10.101 20 deny any log ip access-list standard 30 10 remark SNMP 接続を許可する備考 トラフィックをルーター管理に制限するpermit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permit icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 deny ip any host 10.2.10.247 log ! snmp-server group SOLAR v3 priv context vlan-10 read MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf version 3 priv SOLAR ! ntp logging ntp authentication-key 1 md5 ntp authenticatentp trusted-key 1 ntp source GigabitEthernet0/0 ntp access-group peer 20 ntp server vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf ロギング 同期 exec プロンプト タイムスタンプ 履歴 サイズ 100 トランスポート優先 ssh トランスポート入力 ssh ! 1 つの注意点は、データ プレーン ポートの Netflow インスペクションが管理プレーンに渡されないことです。
これらのスイッチは倉庫にあり、レイヤー 3 で構成されたすべての VLAN で管理インターフェイスを使用でき、オフにすることはできません。 vlan 1 を静的 IP アドレスを持つように変更し、ACL を作成して、アクセスできないネットワークへのアクセスを防止する必要があります。

管理インターフェイスは、構成されたすべての VLAN で利用可能です
他の L3 スイッチとどう違うのですか?これを防ぐには、ルールを作成する必要があります。