r/Cisco - CBS 350: cum să dezactivați accesul la interfața web de management de la porturile Ethernet obișnuite ale switch-ului?

= CBS 350: cum se dezactivează accesul la interfața web de management de la porturile Ethernet obișnuite ale switch-ului? =

Am un comutator CBS350 pentru a gestiona traficul Ethernet de la diferite computere. Configurația mea actuală folosește o rețea complet separată pentru a oferi acces la interfața de gestionare IPMI a computerelor și aș dori să fac același lucru pentru comutatorul Cisco

Comutatorul este conectat prin portul OOB la rețeaua IPMI și pot accesa interfața Web de gestionare de pe orice computer din această rețea. Se pare că CBS350 în sine obține, de asemenea, o adresă IPv4 de la un server DHCP care este conectat la oricare dintre porturile Ethernet obișnuite, astfel încât să poată avea serverul Web de gestionare accesibil în acea rețea.

Cum dezactivez acest comportament? Indiferent cât de sigur este serverul Web de management, mai devreme sau mai târziu cineva va găsi o vulnerabilitate care să-l exploateze. Vreau ca interfața de management să fie disponibilă numai prin portul OOB

Am încercat servicii IPv4, dar se pare că nu există nicio modalitate de a șterge regula VLAN1. Cel mai apropiat lucru pe care l-am putut face a fost să-l configurez pentru a utiliza o adresă IP statică neroutable

Dezactivați serverul web = „fără server http”
Dacă nu doriți ca porturi să acceseze rețeaua vlan 1, nu atribuiți acele porturi vlan-ului 1. Ar trebui folosit un firewall sau ACL pentru a preveni rutarea între rețele/gazde neautorizate

Este foarte simplu

Configurați interfața IPv4 pentru a fi pe un alt VLAN decât VLAN 1 și setați o adresă IP statică. Ștergeți și intrarea DHCP IPv4

Apoi configurați portul de comutare la alegere ca port de acces cu acel VLAN pe care l-ați configurat mai devreme, iar acum aveți un port OOB. Asigurați-vă că nu permiteți acel VLAN peste niciun trunk

În rețeaua mea de Cisco 9300, mut planul de management la un vrf și leagă următoarele servicii la acel vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Mai jos este listat un fragment condensat și igienizat de comenzi relevante: ! versiunea 17.6! definiție vrf Mgmt-vrf adresa-familie ipv4 exit-address-family ! comutator 1 prevedere c9300-48t ! interfață GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 10.2.10.247 255.255.255.0 ip access-group 103 in ! fără ip http server ip http acces-clasă ipv4 11 ip http autentificare local fără ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client sursă-interfață GigabitEthernet0/0 ip tftp sursă-interfață GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh sursă-interfață GigabitEther ! istoric de înregistrare informațională jurnalizare capcană notificări înregistrare origine-id nume gazdă înregistrare sursă-interfață GigabitEthernet0/0 vrf Mgmt-vrf înregistrare snmp-trap gazdă de înregistrare informațională 192.168.10.252 vrf Mgmt-vrf ! IP access-list standard 10 10 remarcă Filtru SSH Încercări 20 permis 192.168.10.248 0.0.0.7 jurnal 30 permis 10.2.10.248 0.0.0.7 jurnal 40 deny any log ip access-list standard 11 10 remarcă jurnal HTTP de orice jurnal jurnal acces 2 -list standard 20 10 remarcă Filtru NTP Tentative 10 permis 192.168.10.101 20 deny any log ip access-list standard 30 10 remark Allow SNMP Connections 20 permit 192.168.10.251 30 permit 192.168.10.251 30 permit 192.168.10.251 30 permit 192.168.10.251 30 permit 192.168.10.101 30 permit 192.168.10.101 20 deny any log ip access-list 140 deny 1 jurnal 140. Observație restricționează traficul în gestionarea routerului 10 Permis UDP 192.168.10.248 0.0.0.7 Gazdă 10.2.10.247 EQ SNMP 20 Permit UDP gazdă 192.168.10.101 Gazdă 10.2.10.247 EQ NTP 30 Permis TCP 192.168.10.248 0.0.0.7 Gazda 10.2.10.247 permis udp 192.168.10.248 0.0.0.7 gazdă 10.2.10.247 eq tftp 50 permis icmp 192.168.10.248 0.0.0.7 gazdă 10.2.10.247 60 refuza ip7 orice gazdă 1010.24 ! snmp-server group SOLAR v3 context privat vlan-10 citire acces MGMT 30 snmp-server trap-source GigabitEthernet0/0 snmp-server gazdă 192.168.10.252 vrf Mgmt-vrf versiunea 3 priv SOLAR ! înregistrare ntp cheie de autentificare ntp 1 md5 ntp authenticatentp cheie de încredere 1 sursă ntp GigabitEthernet0/0 ntp acces-grup peer 20 server ntp vrf Mgmt-vrf 192.168.10.101 ! linie vty 0 1 sesiune-timeout 10 acces-clasa 10 în vrfname Mgmt-vrf logging sincron prompt exec timestamp istoric dimensiune 100 transport preferat ssh transport input ssh ! Un avertisment este că inspecția Netflow pe porturile planului de date nu va trece la planul de management
Aceste switch-uri sunt de casă, interfața de management este disponibilă pe fiecare vlan configurat cu stratul 3 și nu le puteți dezactiva. Va trebui să schimbați vlan-ul 1 pentru a avea o adresă IP statică și apoi să creați ACL-uri pentru a preveni accesul la rețelele la care nu ar trebui să aibă acces.

interfața de management este disponibilă pe fiecare vlan configurat
Cum este diferit de orice alt comutator l3? Trebuie să creați reguli pentru a preveni acest lucru.