r / Cisco - CBS 350: carane mateni akses menyang antarmuka web Manajemen saka bandar Ethernet biasa ngalih kang?

= CBS 350: carane mateni akses menyang antarmuka web manajemen saka port Ethernet biasa switch? = Aku entuk switch CBS350 kanggo ngatur lalu lintas Ethernet saka macem-macem komputer. Pendhaftaran persiyapan saiki nggunakake jaringan rampung kapisah kanggo nyedhiyani akses menyang antarmuka Manajemen IPMI saka komputer, lan aku kaya kanggo nindakake padha kanggo ngalih Cisco Ngalih wis kecanthol munggah liwat port OOB kanggo jaringan IPMI, lan aku bisa ngakses antarmuka Web Manajemen saka sembarang komputer ing jaringan iki. Katon CBS350 dhewe uga entuk alamat IPv4 saka server DHCP sing disambungake menyang port Ethernet biasa, supaya server Web manajemen bisa diakses ing jaringan kasebut. Kepiye carane mateni prilaku iki? Ora ketompo carane aman server Web manajemen, cepet utawa mengko wong bakal nemokake kerentanan kanggo eksploitasi. Aku pengin antarmuka manajemen mung kasedhiya liwat port OOB Aku nyoba layanan IPv4, nanging katon kaya ora ana cara kanggo mbusak aturan VLAN1. Wangsulan: Bab ingkang paling cedhak aku bisa nindakake iku wis persiyapan kanggo nggunakake alamat IP statis unroutable Pateni server web = 'ora ana server http'Yen sampeyan ora pengin port ngakses jaringan vlan 1, aja nemtokake port kasebut menyang vlan 1. Firewall utawa ACL kudu digunakake kanggo nyegah nuntun antarane jaringan / host sing ora sah. Iku pancene prasaja Konfigurasi antarmuka IPv4 dadi ing VLAN liyane saka VLAN 1 lan nyetel alamat IP statis. Mbusak entri DHCP IPv4 uga Banjur atur port switch sing dipilih minangka port akses karo VLAN sing dikonfigurasi sadurunge, lan saiki sampeyan duwe port OOB. Priksa manawa sampeyan ora ngidini VLAN ing sembarang trunks Ing jaringan Cisco 9300, aku mindhah pesawat manajemen menyang vrf lan dasi layanan ing ngisor iki menyang vrf kasebut TFTP SSH SNMP SYSLOG NTP Dhaptar ing ngisor iki minangka potongan printah sing dikondensasi lan diresiki: ! versi 17.6! definisi vrf Mgmt-vrf alamat-kulawarga ipv4 metu-alamat-kulawarga ! ngalih 1 pranata c9300-48t! antarmuka GigabitEthernet0/0 vrf nerusake Mgmt-vrf alamat ip 10.2.10.247 255.255.255.0 ip akses-grup 103 ing! ora ip http server ip http akses-kelas ipv4 11 ip http otentikasi lokal ora ip http aman-server ip http aman-ciphersuite rsa-aes-gcm-sha2 ip http max-koneksi 1 ip http klien sumber-antarmuka GigabitEthernet0/0 ip tftp sumber-antarmuka GigabitEthernet0/0 ip tftp ukuran blok 1482 rute ip vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh wektu entek 60 ip ssh sumber-interface ! riwayat logging informasi logging trap kabar logging asal-id jeneng host logging sumber-antarmuka GigabitEthernet0/0 vrf Mgmt-vrf logging snmp-trap informasi logging host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standar 10 10 komentar Filter SSH Upaya 20 ijin 192.168.10.248 0.0.0.7 log 30 ijin 10.2.10.248 0.0.0.7 log 40 nolak sembarang log ip akses-daftar standar 11 10 komentar i Log Attempt akses HTTP -standar dhaftar 20 10 komentar Nyaring NTP Nyoba 10 idin 192.168.10.101 20 nolak sembarang log ip akses-dhaftar standar 30 10 komentar Allow SNMP Connections 20 ijin 192.168.10.251 30 ijin akses-daftar 192.168 102.168 4. REPARARS mbatesi lalu lintas menyang manajemen router 10 ijin udap 192.248.0.248 host 102.2.247 EQ 10.06.247 host 10.2.10.247 EQ 2221 ijin udp 192.168.10.248 0.0.0.7 inang 10.2.10.247 eq tftp 50 ijin icmp 192.168.10.248 0.0.0.7 inang 10.2.10.247 60 nolak ip2.4 inang wae ! grup snmp-server SOLAR v3 konteks priv vlan-10 maca akses MGMT 30 snmp-server trap-sumber GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf versi 3 priv SOLAR! ntp logging ntp authentication-key 1 md5 ntp authenticatentp trusted-key 1 ntp source GigabitEthernet0/0 ntp access-group peer 20 ntp server vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf logging sinkron exec prompt timestamp riwayat ukuran 100 transport preferred ssh transport input ssh ! Siji caveat yaiku inspeksi Netflow ing port pesawat data ora bakal dilewati menyang bidang manajemen Ngalih iki arehouse, antarmuka Manajemen kasedhiya ing saben vlan diatur karo lapisan 3 lan sampeyan ora bisa mateni. Sampeyan kudu ngganti vlan 1 kanggo duwe alamat IP statis lan banjur nggawe ACL kanggo nyegah akses menyang jaringan sing ngirim ora duwe akses banget. antarmuka Manajemen kasedhiya ing saben vlan diatur Carane iku beda saka switch l3 liyane? Sampeyan kudu nggawe aturan kanggo nyegah iki.