= CBS 350: ਸਵਿੱਚ ਦੇ ਨਿਯਮਤ ਈਥਰਨੈੱਟ ਪੋਰਟਾਂ ਤੋਂ ਪ੍ਰਬੰਧਨ ਵੈੱਬ ਇੰਟਰਫੇਸ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਕਿਵੇਂ ਅਸਮਰੱਥ ਬਣਾਇਆ ਜਾਵੇ? =

ਮੈਨੂੰ ਵੱਖ-ਵੱਖ ਕੰਪਿਊਟਰਾਂ ਤੋਂ ਈਥਰਨੈੱਟ ਟ੍ਰੈਫਿਕ ਦਾ ਪ੍ਰਬੰਧਨ ਕਰਨ ਲਈ ਇੱਕ CBS350 ਸਵਿੱਚ ਮਿਲਿਆ ਹੈ। ਮੇਰਾ ਮੌਜੂਦਾ ਸੈੱਟਅੱਪ ਕੰਪਿਊਟਰਾਂ ਦੇ IPMI ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਤੱਕ ਪਹੁੰਚ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਇੱਕ ਪੂਰੀ ਤਰ੍ਹਾਂ ਵੱਖ ਕੀਤੇ ਨੈੱਟਵਰਕ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ, ਅਤੇ ਮੈਂ Cisco ਸਵਿੱਚ ਲਈ ਵੀ ਅਜਿਹਾ ਕਰਨਾ ਚਾਹਾਂਗਾ।

ਸਵਿੱਚ ਨੂੰ OOB ਪੋਰਟ ਰਾਹੀਂ IPMI ਨੈੱਟਵਰਕ ਨਾਲ ਜੋੜਿਆ ਗਿਆ ਹੈ, ਅਤੇ ਮੈਂ ਇਸ ਨੈੱਟਵਰਕ ਵਿੱਚ ਕਿਸੇ ਵੀ ਕੰਪਿਊਟਰ ਤੋਂ ਪ੍ਰਬੰਧਨ ਵੈੱਬ ਇੰਟਰਫੇਸ ਤੱਕ ਪਹੁੰਚ ਕਰ ਸਕਦਾ/ਸਕਦੀ ਹਾਂ। ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ CBS350 ਖੁਦ ਵੀ ਇੱਕ DHCP ਸਰਵਰ ਤੋਂ ਇੱਕ IPv4 ਪਤਾ ਪ੍ਰਾਪਤ ਕਰਦਾ ਹੈ ਜੋ ਕਿਸੇ ਵੀ ਨਿਯਮਤ ਈਥਰਨੈੱਟ ਪੋਰਟਾਂ ਨਾਲ ਜੁੜਿਆ ਹੋਇਆ ਹੈ, ਇਸਲਈ ਇਸ ਵਿੱਚ ਉਸ ਨੈੱਟਵਰਕ 'ਤੇ ਪ੍ਰਬੰਧਨ ਵੈੱਬ ਸਰਵਰ ਪਹੁੰਚਯੋਗ ਹੋ ਸਕਦਾ ਹੈ।

ਮੈਂ ਇਸ ਵਿਵਹਾਰ ਨੂੰ ਕਿਵੇਂ ਅਸਮਰੱਥ ਕਰਾਂ? ਭਾਵੇਂ ਪ੍ਰਬੰਧਨ ਵੈੱਬ ਸਰਵਰ ਕਿੰਨਾ ਵੀ ਸੁਰੱਖਿਅਤ ਹੋਵੇ, ਜਲਦੀ ਜਾਂ ਬਾਅਦ ਵਿੱਚ ਕਿਸੇ ਨੂੰ ਇਸਦਾ ਸ਼ੋਸ਼ਣ ਕਰਨ ਲਈ ਇੱਕ ਕਮਜ਼ੋਰੀ ਮਿਲੇਗੀ। ਮੈਂ ਚਾਹੁੰਦਾ ਹਾਂ ਕਿ ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਸਿਰਫ OOB ਪੋਰਟ ਦੁਆਰਾ ਉਪਲਬਧ ਹੋਵੇ

ਮੈਂ IPv4 ਸੇਵਾਵਾਂ ਦੀ ਕੋਸ਼ਿਸ਼ ਕੀਤੀ, ਪਰ ਅਜਿਹਾ ਲਗਦਾ ਹੈ ਕਿ VLAN1 ਨਿਯਮ ਨੂੰ ਮਿਟਾਉਣ ਦਾ ਕੋਈ ਤਰੀਕਾ ਨਹੀਂ ਹੈ। ਸਭ ਤੋਂ ਨਜ਼ਦੀਕੀ ਚੀਜ਼ ਜੋ ਮੈਂ ਕਰ ਸਕਦਾ ਸੀ ਉਹ ਇਹ ਸੀ ਕਿ ਇਸਨੂੰ ਇੱਕ ਗੈਰ-ਰੋਟੇਬਲ ਸਥਿਰ IP ਐਡਰੈੱਸ ਦੀ ਵਰਤੋਂ ਕਰਨ ਲਈ ਸੈੱਟਅੱਪ ਕਰਨਾ ਸੀ

ਵੈੱਬ ਸਰਵਰ ਨੂੰ ਅਯੋਗ ਕਰੋ = 'ਕੋਈ http ਸਰਵਰ ਨਹੀਂ'ਜੇਕਰ ਤੁਸੀਂ vlan 1 ਨੈੱਟਵਰਕ ਤੱਕ ਪਹੁੰਚ ਕਰਨ ਵਾਲੀਆਂ ਪੋਰਟਾਂ ਨਹੀਂ ਚਾਹੁੰਦੇ ਹੋ, ਤਾਂ ਉਹਨਾਂ ਪੋਰਟਾਂ ਨੂੰ vlan 1 ਨੂੰ ਨਾ ਸੌਂਪੋ। ਅਣਅਧਿਕਾਰਤ ਨੈੱਟਵਰਕਾਂ/ਹੋਸਟਾਂ ਵਿਚਕਾਰ ਰੂਟਿੰਗ ਨੂੰ ਰੋਕਣ ਲਈ ਇੱਕ ਫਾਇਰਵਾਲ ਜਾਂ ACL ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜਾਣੀ ਚਾਹੀਦੀ ਹੈ।

ਇਹ ਅਸਲ ਵਿੱਚ ਸਧਾਰਨ ਹੈ

ਇਸ ਦੇ IPv4 ਇੰਟਰਫੇਸ ਨੂੰ VLAN 1 ਤੋਂ ਇਲਾਵਾ ਕਿਸੇ ਹੋਰ VLAN 'ਤੇ ਹੋਣ ਲਈ ਕੌਂਫਿਗਰ ਕਰੋ ਅਤੇ ਇੱਕ ਸਥਿਰ IP ਪਤਾ ਸੈਟ ਕਰੋ। DHCP IPv4 ਐਂਟਰੀ ਨੂੰ ਵੀ ਮਿਟਾਓ

ਫਿਰ ਆਪਣੀ ਪਸੰਦ ਦੇ ਸਵਿੱਚ ਪੋਰਟ ਨੂੰ ਉਸ VLAN ਨਾਲ ਐਕਸੈਸ ਪੋਰਟ ਵਜੋਂ ਕੌਂਫਿਗਰ ਕਰੋ ਜੋ ਤੁਸੀਂ ਪਹਿਲਾਂ ਕੌਂਫਿਗਰ ਕੀਤਾ ਸੀ, ਅਤੇ ਹੁਣ ਤੁਹਾਡੇ ਕੋਲ ਇੱਕ OOB ਪੋਰਟ ਹੈ। ਯਕੀਨੀ ਬਣਾਓ ਕਿ ਤੁਸੀਂ ਕਿਸੇ ਵੀ ਤਣੇ ਵਿੱਚ ਉਸ VLAN ਦੀ ਇਜਾਜ਼ਤ ਨਹੀਂ ਦਿੰਦੇ ਹੋ

Cisco 9300's ਦੇ ਮੇਰੇ ਨੈੱਟਵਰਕ 'ਤੇ ਮੈਂ ਮੈਨੇਜਮੈਂਟ ਪਲੇਨ ਨੂੰ ਇੱਕ vrf ਵਿੱਚ ਲੈ ਜਾਂਦਾ ਹਾਂ ਅਤੇ ਹੇਠਾਂ ਦਿੱਤੀਆਂ ਸੇਵਾਵਾਂ ਨੂੰ ਉਸ vrf ਨਾਲ ਜੋੜਦਾ ਹਾਂ
TFTP
SSH
SNMP
SYSLOG
NTP

ਹੇਠਾਂ ਦਿੱਤੇ ਅਨੁਸਾਰੀ ਕਮਾਂਡਾਂ ਦਾ ਸੰਘਣਾ ਅਤੇ ਰੋਗਾਣੂ-ਮੁਕਤ ਸਨਿੱਪਟ ਹੈ: ! ਸੰਸਕਰਣ 17.6! vrf ਪਰਿਭਾਸ਼ਾ Mgmt-vrf ਐਡਰੈੱਸ-ਫੈਮਿਲੀ ipv4 ਐਗਜ਼ਿਟ-ਐਡਰੈੱਸ-ਫੈਮਿਲੀ! ਸਵਿੱਚ 1 ਪ੍ਰੋਵਿਜ਼ਨ c9300-48t! ਇੰਟਰਫੇਸ GigabitEthernet0/0 vrf ਫਾਰਵਰਡਿੰਗ Mgmt-vrf ਆਈਪੀ ਐਡਰੈੱਸ 10.2.10.247 255.255.255.0 ਆਈਪੀ ਐਕਸੈਸ-ਗਰੁੱਪ 103 ਵਿੱਚ! ਕੋਈ ip http ਸਰਵਰ ip http ਪਹੁੰਚ-ਕਲਾਸ ipv4 11 ip http ਪ੍ਰਮਾਣਿਕਤਾ ਸਥਾਨਕ ਕੋਈ ip http ਸੁਰੱਖਿਅਤ-ਸਰਵਰ ip http ਸੁਰੱਖਿਅਤ-ਸੀਫਰਸੂਟ rsa-aes-gcm-sha2 ip http ਅਧਿਕਤਮ-ਕਨੈਕਸ਼ਨ 1 ip http ਕਲਾਇੰਟ ਸਰੋਤ-ਇੰਟਰਫੇਸ GigabitEthernet0/0 ip tftp ਸਰੋਤ-ਇੰਟਰਫੇਸ GigabitEthernet0/0 ip tftp ਬਲਾਕਸਾਈਜ਼ 1482 ip ਰੂਟ vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh ਟਾਈਮ-ਆਊਟ 60 ip-ssh-ethernet 60 ! ਲੌਗਿੰਗ ਇਤਿਹਾਸ ਜਾਣਕਾਰੀ ਲੌਗਿੰਗ ਟਰੈਪ ਸੂਚਨਾਵਾਂ ਲੌਗਿੰਗ ਮੂਲ-ਆਈਡੀ ਹੋਸਟਨਾਮ ਲੌਗਿੰਗ ਸਰੋਤ-ਇੰਟਰਫੇਸ GigabitEthernet0/0 vrf Mgmt-vrf ਲੌਗਿੰਗ snmp-trap ਜਾਣਕਾਰੀ ਸੰਬੰਧੀ ਲੌਗਿੰਗ ਹੋਸਟ 192.168.10.252 vrf Mgmt-vrf ip ਪਹੁੰਚ-ਸੂਚੀ ਸਟੈਂਡਰਡ 10 10 ਟਿੱਪਣੀ ਫਿਲਟਰ SSH ਕੋਸ਼ਿਸ਼ਾਂ 20 ਪਰਮਿਟ 192.168.10.248 0.0.0.7 ਲੌਗ 30 ਪਰਮਿਟ 10.2.10.248 0.0.0.7 ਲੌਗ 40 ਕਿਸੇ ਵੀ ਲੌਗ ਤੋਂ ਇਨਕਾਰ ਕਰੋ ip ਪਹੁੰਚ-ਸੂਚੀ ਸਟੈਂਡਰਡ 110 ਆਈਪੀ ਐਕਸੈਸ-ਲਿਸਟ ਸਟੈਂਡਰਡ 110 ਆਈਪੀ ਐਕਸੈਸ ਸਟੈਂਡਰਡ 110 ਆਈਪੀ ਐਕਸੈਸ ਮਾਰਕ 110. -ਲਿਸਟ ਸਟੈਂਡਰਡ 20 10 ਟਿੱਪਣੀ ਫਿਲਟਰ NTP ਕੋਸ਼ਿਸ਼ਾਂ 10 ਪਰਮਿਟ 192.168.10.101 20 ਕਿਸੇ ਵੀ ਲੌਗ ਤੋਂ ਇਨਕਾਰ ਕਰੋ ip ਐਕਸੈਸ-ਲਿਸਟ ਸਟੈਂਡਰਡ 30 10 ਟਿੱਪਣੀ SNMP ਕੁਨੈਕਸ਼ਨਾਂ ਨੂੰ ਆਗਿਆ ਦਿਓ 20 ਪਰਮਿਟ 192.168.10.251 30 ਪਰਮਿਟ 192.168.10.251 30 ਪਰਮਿਟ 192.168.10.251 30 ਪਰਮਿਟ 192.168.10.251. ਟ੍ਰੈਫਿਕ ਨੂੰ ਰਾ ter ਟਰ ਪ੍ਰਬੰਧਨ ਵਿੱਚ ਰੱਕੀਨ ਕਰੋ 10 ਪਰਮਿਟ ਪਰਮਿਟ udp 192.168.10.248 0.0.0.7 ਹੋਸਟ 10.2.10.247 eq tftp 50 ਪਰਮਿਟ icmp 192.168.10.248 0.0.0.7 ਹੋਸਟ 10.2.10.247 ਹੋਸਟ 10.2.10.247 ਕੋਈ ਵੀ ਹੋਸਟ 60.2013! snmp-ਸਰਵਰ ਗਰੁੱਪ SOLAR v3 priv context vlan-10 ਪੜ੍ਹੋ MGMT ਪਹੁੰਚ 30 snmp-ਸਰਵਰ ਟਰੈਪ-ਸਰੋਤ GigabitEthernet0/0 snmp-ਸਰਵਰ ਹੋਸਟ 192.168.10.252 vrf Mgmt-vrf ਸੰਸਕਰਣ 3 ਪ੍ਰਾਈਵ ਸੋਲਰ! ntp ਲੌਗਿੰਗ ntp ਪ੍ਰਮਾਣਿਕਤਾ-ਕੁੰਜੀ 1 md5 ntp ਪ੍ਰਮਾਣਿਕਤਾ-ਕੁੰਜੀ 1 ntp ਸਰੋਤ GigabitEthernet0/0 ntp ਐਕਸੈਸ-ਗਰੁੱਪ ਪੀਅਰ 20 ntp ਸਰਵਰ vrf Mgmt-vrf 192.168.10.101 ! ਲਾਈਨ vty 0 1 ਸੈਸ਼ਨ-ਟਾਈਮਆਉਟ 10 ਪਹੁੰਚ-ਕਲਾਸ 10 ਵਿੱਚ vrfname Mgmt-vrf ਲੌਗਿੰਗ ਸਿੰਕ੍ਰੋਨਸ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਪ੍ਰੋਂਪਟ ਟਾਈਮਸਟੈਂਪ ਇਤਿਹਾਸ ਦਾ ਆਕਾਰ 100 ਟ੍ਰਾਂਸਪੋਰਟ ਤਰਜੀਹੀ ssh ਟ੍ਰਾਂਸਪੋਰਟ ਇਨਪੁਟ ssh! ਇੱਕ ਚੇਤਾਵਨੀ ਇਹ ਹੈ ਕਿ ਡੇਟਾ ਪਲੇਨ ਪੋਰਟਾਂ 'ਤੇ ਨੈੱਟਫਲੋ ਨਿਰੀਖਣ ਪ੍ਰਬੰਧਨ ਜਹਾਜ਼ ਨੂੰ ਨਹੀਂ ਲੰਘੇਗਾ
ਇਹ ਸਵਿੱਚ ਏਰੀਹਾਊਸ, ਮੈਨੇਜਮੈਂਟ ਇੰਟਰਫੇਸ ਲੇਅਰ 3 ਨਾਲ ਕੌਂਫਿਗਰ ਕੀਤੇ ਹਰੇਕ vlan 'ਤੇ ਉਪਲਬਧ ਹੈ ਅਤੇ ਤੁਸੀਂ ਇਹਨਾਂ ਨੂੰ ਬੰਦ ਨਹੀਂ ਕਰ ਸਕਦੇ ਹੋ। ਤੁਹਾਨੂੰ ਇੱਕ ਸਥਿਰ IP ਐਡਰੈੱਸ ਰੱਖਣ ਲਈ vlan 1 ਨੂੰ ਬਦਲਣ ਦੀ ਲੋੜ ਪਵੇਗੀ ਅਤੇ ਫਿਰ ਉਹਨਾਂ ਨੈੱਟਵਰਕਾਂ ਤੱਕ ਪਹੁੰਚ ਨੂੰ ਰੋਕਣ ਲਈ ACLs ਬਣਾਉਣ ਦੀ ਲੋੜ ਪਵੇਗੀ ਜਿਸਦੀ ਪਹੁੰਚ ਵੀ ਨਹੀਂ ਹੋਣੀ ਚਾਹੀਦੀ।

ਪ੍ਰਬੰਧਨ ਇੰਟਰਫੇਸ ਹਰ ਸੰਰਚਿਤ vlan 'ਤੇ ਉਪਲਬਧ ਹੈ
ਇਹ ਕਿਸੇ ਹੋਰ l3 ਸਵਿੱਚ ਨਾਲੋਂ ਕਿਵੇਂ ਵੱਖਰਾ ਹੈ? ਇਸ ਨੂੰ ਰੋਕਣ ਲਈ ਤੁਹਾਨੂੰ ਨਿਯਮ ਬਣਾਉਣ ਦੀ ਲੋੜ ਹੈ।