= CBS 350: 스위치의 일반 이더넷 포트에서 관리 웹 인터페이스에 대한 액세스를 비활성화하는 방법은 무엇입니까? =

다양한 컴퓨터의 이더넷 트래픽을 관리하기 위해 CBS350 스위치를 얻었습니다. 내 현재 설정은 완전히 분리된 네트워크를 사용하여 컴퓨터의 IPMI 관리 인터페이스에 대한 액세스를 제공하며 Cisco 스위치에 대해서도 동일한 작업을 수행하고 싶습니다.

스위치는 OOB 포트를 통해 IPMI 네트워크에 연결되며 이 네트워크의 모든 컴퓨터에서 관리 웹 인터페이스에 액세스할 수 있습니다. CBS350 자체도 일반 이더넷 포트에 연결된 DHCP 서버에서 IPv4 주소를 가져와 해당 네트워크에서 관리 웹 서버에 액세스할 수 있는 것처럼 보입니다.

이 동작을 어떻게 비활성화합니까? 관리 웹 서버가 아무리 안전하더라도 조만간 누군가 이를 악용할 취약점을 발견하게 될 것입니다. OOB 포트를 통해서만 관리 인터페이스를 사용할 수 있기를 원합니다.

IPv4 서비스를 시도했지만 VLAN1 규칙을 삭제할 방법이 없는 것 같습니다. 내가 할 수 있는 가장 가까운 일은 라우팅할 수 없는 고정 IP 주소를 사용하도록 설정하는 것이었습니다.

웹 서버 비활성화 = 'http 서버 없음'vlan 1 네트워크에 액세스하는 포트를 원하지 않는 경우 해당 포트를 vlan 1에 할당하지 마십시오. 승인되지 않은 네트워크/호스트 간의 라우팅을 방지하려면 방화벽 또는 ACL을 사용해야 합니다.

정말 간단합니다

VLAN 1이 아닌 VLAN에 있도록 IPv4 인터페이스를 구성하고 고정 IP 주소를 설정합니다. DHCP IPv4 항목도 삭제하십시오.

그런 다음 이전에 구성한 VLAN을 사용하여 원하는 스위치 포트를 액세스 포트로 구성하면 이제 OOB 포트가 생깁니다. 모든 트렁크에서 해당 VLAN을 허용하지 않는지 확인하십시오.

Cisco 9300의 네트워크에서 관리 평면을 vrf로 이동하고 다음 서비스를 해당 vrf에 연결합니다.
TFTP
SSH
SNMP
시스템 로그
NTP

아래 목록은 관련 명령의 압축되고 삭제된 스니펫입니다. ! 버전 17.6! vrf 정의 Mgmt-vrf 주소-패밀리 ipv4 종료-주소-패밀리 ! 스위치 1 제공 c9300-48t ! 인터페이스 GigabitEthernet0/0 vrf 전달 Mgmt-vrf ip 주소 10.2.10.247 255.255.255.0 ip access-group 103 in ! ip 없음 http 서버 ip http 액세스 클래스 ipv4 11 ip http 인증 로컬 없음 ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http 최대 연결 1 ip http 클라이언트 소스 인터페이스 GigabitEthernet0/0 ip tftp 소스 인터페이스 GigabitEthernet0/0 ip tftp 블록 크기 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh 소스 인터페이스 GigabitEthernet0/0 ! 로깅 기록 정보 로깅 트랩 알림 로깅 origin-id 호스트 이름 로깅 소스 인터페이스 GigabitEthernet0/0 vrf Mgmt-vrf 로깅 snmp-trap 정보 로깅 호스트 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 comment 필터 SSH 시도 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 모든 로그 거부 ip access-list standard 11 10 comment 로그 HTTP 시도 20 모든 로그 거부 ip 액세스 -list standard 20 10 comment 필터 NTP 시도 10 permit 192.168.10.101 20 모든 로그 거부 ip access-list standard 30 10 Restrict Traffic INTO Router Management 10 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq snmp 20 permit udp host 192.168.10.101 host 10.2.10.247 eq ntp 30 permit tcp 192.168.10.248 0.0.0.27 host 4 01.0.2.7 udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permit icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 거부 ip 모든 호스트 10.2.10.247 log ! snmp-server 그룹 SOLAR v3 priv 컨텍스트 vlan-10 읽기 MGMT 액세스 30 snmp-server trap-source GigabitEthernet0/0 snmp-server 호스트 192.168.10.252 vrf Mgmt-vrf 버전 3 priv SOLAR ! ntp 로깅 ntp 인증 키 1 md5 ntp authenticatentp 신뢰할 수 있는 키 1 ​​ntp 소스 GigabitEthernet0/0 ntp 액세스 그룹 피어 20 ntp 서버 vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf 로깅 동기식 exec 프롬프트 타임스탬프 기록 크기 100 전송 선호 ssh 전송 입력 ssh ! 한 가지 주의할 점은 데이터 플레인 포트에 대한 Netflow 검사가 관리 플레인으로 전달되지 않는다는 것입니다.
이러한 스위치는 내부에 있으며 관리 인터페이스는 계층 3으로 구성된 모든 VLAN에서 사용할 수 있으며 끌 수 없습니다. 고정 IP 주소를 갖도록 vlan 1을 변경한 다음 ACL을 생성하여 액세스 권한이 없어야 하는 네트워크에 대한 액세스를 방지해야 합니다.

구성된 모든 VLAN에서 관리 인터페이스를 사용할 수 있습니다.
다른 l3 스위치와 다른 점은 무엇입니까? 이를 방지하기 위해 규칙을 만들어야 합니다.