r/Cisco - CBS 350: hoe schakel ik de toegang tot de beheerwebinterface uit vanaf de reguliere Ethernet-poorten van de switch?

= CBS 350: hoe schakel ik de toegang tot de beheerwebinterface uit vanaf de reguliere Ethernet-poorten van de switch? =

Ik kreeg een CBS350-switch om het Ethernet-verkeer van verschillende computers te beheren. Mijn huidige configuratie maakt gebruik van een volledig gescheiden netwerk om toegang te bieden tot de IPMI-beheerinterface van de computers, en ik zou hetzelfde willen doen voor de Cisco-switch

De switch is via de OOB-poort aangesloten op het IPMI-netwerk en ik heb vanaf elke computer in dit netwerk toegang tot de beheerwebinterface. Het lijkt erop dat de CBS350 zelf ook een IPv4-adres verkrijgt van een DHCP-server die is aangesloten op een van de reguliere Ethernet-poorten, zodat de beheerwebserver toegankelijk kan zijn op dat netwerk

Hoe schakel ik dit gedrag uit? Hoe veilig de beheerwebserver ook is, vroeg of laat zal iemand een kwetsbaarheid vinden om deze te misbruiken. Ik wil dat de beheerinterface alleen beschikbaar is via de OOB-poort

Ik heb IPv4-services geprobeerd, maar het lijkt erop dat er geen manier is om de VLAN1-regel te verwijderen. Het beste wat ik kon doen, was het instellen om een ​​niet-routeerbaar statisch IP-adres te gebruiken

Schakel de webserver uit = 'geen http-server'Als u niet wilt dat poorten toegang krijgen tot het vlan 1-netwerk, wijs die poorten dan niet toe aan vlan 1. Er moet een firewall of ACL worden gebruikt om routering tussen niet-geautoriseerde netwerken/hosts te voorkomen

Het is heel eenvoudig

Configureer de IPv4-interface voor een ander VLAN dan VLAN 1 en stel een statisch IP-adres in. Verwijder ook de vermelding DHCP IPv4

Configureer vervolgens de switchpoort van uw keuze als toegangspoort met dat VLAN dat u eerder hebt geconfigureerd, en nu hebt u een OOB-poort. Zorg ervoor dat u dat VLAN niet over trunks toestaat

Op mijn netwerk van Cisco 9300's verplaats ik het beheervlak naar een vrf en koppel ik de volgende services aan die vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Hieronder vindt u een beknopt en opgeschoond fragment van relevante opdrachten: ! versie 17.6! vrf definitie Mgmt-vrf adres-familie ipv4 exit-adres-familie! schakelaar 1 voorziening c9300-48t ! interface GigabitEthernet0/0 vrf doorsturen Mgmt-vrf ip adres 10.2.10.247 255.255.255.0 ip toegangsgroep 103 in ! geen ip http server ip http toegangsklasse ipv4 11 ip http authenticatie lokaal geen ip http beveiligde server ip http beveiligde coderingssuite rsa-aes-gcm-sha2 ip http max-verbindingen 1 ip http client broninterface GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blockize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0/0 ! logboekregistratiegeschiedenis informatieve logboekregistratie trapmeldingen logboekregistratie oorsprong-id hostnaam logboekregistratie broninterface GigabitEthernet0/0 vrf Mgmt-vrf logboekregistratie snmp-trap informatieve logboekregistratie host 192.168.10.252 vrf Mgmt-vrf ! ip-toegangslijst standaard 10 10 opmerking Filter SSH-pogingen 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 weiger elke log ip-toegangslijst standaard 11 10 opmerking Log HTTP-pogingen 20 weiger elke log ip-toegang -lijst standaard 20 10 opmerking Filter NTP Pogingen 10 permit 192.168.10.101 20 weiger elke log ip toegang-lijst standaard 30 10 opmerking Sta SNMP Connections toe 20 permit 192.168.10.251 30 permit 192.168.10.252 40 weiger elke log ip toegang-lijst uitgebreid 103 10 Opmerking beperkt verkeer tot routerbeheer 10 Vergunning UDP 192.168.10.248 0.0.0.7 HOST 10.2.10.247 EQ SNMP 20 VERGEZICHT UDP HOST 192.168.10.101 HOST 10.2.10.247 EQ NTP 30 PERMIT TCP 192.168.10.248 0.0.7 HOUDER 10.0.7.7 HOUDERS. toestaan ​​udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 toestaan ​​icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 weigeren ip elke host 10.2.10.247 log! snmp-server groep SOLAR v3 priv context vlan-10 lezen MGMT toegang 30 snmp-server trap-bron GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf versie 3 priv SOLAR! ntp logging ntp authenticatie-sleutel 1 md5 ntp authenticatentp vertrouwde sleutel 1 ntp bron GigabitEthernet0/0 ntp toegangsgroep peer 20 ntp server vrf Mgmt-vrf 192.168.10.101 ! regel vty 0 1 sessie-time-out 10 toegangsklasse 10 in vrfname Mgmt-vrf logboekregistratie synchroon exec prompt tijdstempel geschiedenisgrootte 100 transport voorkeur ssh transportinvoer ssh! Een voorbehoud is dat Netflow-inspectie op dataplane-poorten niet wordt overgedragen naar het beheervlak
Deze schakelaars zijn huis, de beheerinterface is beschikbaar op elke vlan die is geconfigureerd met laag 3 en u kunt ze niet uitschakelen. U moet vlan 1 wijzigen om een ​​statisch IP-adres te hebben en vervolgens ACL's maken om toegang tot de netwerken te voorkomen waartoe het ook geen toegang zou moeten hebben

de beheerinterface is beschikbaar op elke geconfigureerde vlan
Hoe is dat anders dan elke andere l3-schakelaar? U moet regels maken om dit te voorkomen.