r/Cisco - CBS 350: como desabilitar o acesso à interface web de gerenciamento das portas Ethernet regulares do switch?

= CBS 350: como desabilitar o acesso à interface web de gerenciamento das portas Ethernet regulares do switch? =

Eu tenho um switch CBS350 para gerenciar o tráfego Ethernet de vários computadores. Minha configuração atual usa uma rede completamente separada para fornecer acesso à interface de gerenciamento IPMI dos computadores e gostaria de fazer o mesmo para o switch Cisco

O switch é conectado por meio da porta OOB à rede IPMI e posso acessar a interface da Web de gerenciamento de qualquer computador nessa rede. Parece que o próprio CBS350 também obtém um endereço IPv4 de um servidor DHCP conectado a qualquer uma das portas Ethernet regulares, para que possa ter o servidor Web de gerenciamento acessível nessa rede

Como desabilitar esse comportamento? Não importa quão seguro seja o servidor Web de gerenciamento, mais cedo ou mais tarde alguém encontrará uma vulnerabilidade para explorá-lo. Desejo que a interface de gerenciamento esteja disponível apenas por meio da porta OOB

Tentei serviços IPv4, mas parece que não há como excluir a regra VLAN1. A coisa mais próxima que pude fazer foi configurá-lo para usar um endereço IP estático não roteável

Desativar o servidor web = 'sem servidor http'Se você não deseja que as portas acessem a rede vlan 1, não atribua essas portas à vlan 1. Um firewall ou ACL deve ser usado para impedir o roteamento entre redes/hosts não autorizados

é muito simples

Configure sua interface IPv4 para estar em uma VLAN diferente da VLAN 1 e defina um endereço IP estático. Exclua a entrada DHCP IPv4 também

Em seguida, configure a porta do switch de sua escolha como uma porta de acesso com a VLAN que você configurou anteriormente e agora você tem uma porta OOB. Certifique-se de não permitir essa VLAN em nenhum tronco

Na minha rede de Cisco 9300, movo o plano de gerenciamento para um vrf e amarro os seguintes serviços a esse vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Abaixo está listado um fragmento condensado e sanitizado de comandos relevantes: ! versão 17.6 ! definição vrf Mgmt-vrf address-family ipv4 exit-address-family ! switch 1 provisão c9300-48t ! interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 10.2.10.247 255.255.255.0 ip access-group 103 in ! sem ip http servidor ip http access-class ipv4 11 ip http autenticação local sem ip http servidor seguro ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0/0 ! registro histórico registro informativo registro notificações registro origem-id nome do host registro fonte-interface GigabitEthernet0/0 vrf Mgmt-vrf registro snmp-trap registro informativo host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 remark Filter SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 deny any log ip access-list standard 11 10 remark Log HTTP Attempts 20 nega qualquer log ip access -list standard 20 10 remark Filter NTP Attempts 10 permit 192.168.10.101 20 nega qualquer log ip access-list standard 30 10 remark Allow SNMP Connections 20 permit 192.168.10.251 30 permit 192.168.10.252 40 nega qualquer log ip access-list extendido 103 10 Observação restringe o tráfego ao gerenciamento do roteador 10 Permita UDP 192.168.10.248 0.0.0.7 Host 10.2.10.247 EQ SNMP 20 Permita o host UDP 192.168.10.101 Host 10.2.10.247 Eq NTP 30 Permit 192.168.10.248 0.0.0.0.0.0.0.0.247.247.0.0.0.247 Eq NTP 30 Permit 192.168.10.248 0.0.0.0.0.0.0.247.0.0.0.247.0.0.0.0.247 Eq NTP 30 Permit 192.168.10.248 0.0.0.0.0.0.0.247.0.0.247.0.0.0.247.247. permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permit icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 deny ip any host 10.2.10.247 log ! snmp-server group SOLAR v3 priv context vlan-10 read MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf versão 3 priv SOLAR ! registro ntp chave de autenticação ntp 1 md5 ntp authenticatentp chave confiável 1 fonte ntp GigabitEthernet0/0 ntp access-group peer 20 servidor ntp vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf logging prompt exec síncrono timestamp history size 100 transporte preferencial ssh entrada de transporte ssh ! Uma ressalva é que a inspeção do Netflow nas portas do plano de dados não passará para o plano de gerenciamento
Esses switches são internos, a interface de gerenciamento está disponível em cada vlan configurada com camada 3 e você não pode desligá-los. Você precisará alterar a vlan 1 para ter um endereço IP estático e depois criar ACLs para impedir o acesso às redes que ele não deveria ter acesso também

a interface de gerenciamento está disponível em cada vlan configurada
Como isso é diferente de qualquer outro switch l3? Você precisa criar regras para evitar isso.