r/Cisco - CBS 350: как отключить доступ к веб-интерфейсу управления через обычные Ethernet-порты коммутатора?

= CBS 350: как отключить доступ к веб-интерфейсу управления через обычные Ethernet-порты коммутатора? знак равно

У меня есть коммутатор CBS350 для управления трафиком Ethernet с разных компьютеров. Моя текущая настройка использует полностью отдельную сеть для обеспечения доступа к интерфейсу управления IPMI компьютеров, и я хотел бы сделать то же самое для коммутатора Cisco.

Коммутатор подключен через порт OOB к сети IPMI, и я могу получить доступ к веб-интерфейсу управления с любого компьютера в этой сети. Похоже, что сам CBS350 также получает адрес IPv4 от DHCP-сервера, который подключен к любому из обычных портов Ethernet, поэтому он может иметь доступ к веб-серверу управления в этой сети.

Как отключить это поведение? Независимо от того, насколько защищен веб-сервер управления, рано или поздно кто-то найдет уязвимость, чтобы использовать его. Я хочу, чтобы интерфейс управления был доступен только через порт OOB

Я попробовал службы IPv4, но похоже, что нет возможности удалить правило VLAN1. Самое близкое, что я мог сделать, это настроить его на использование немаршрутизируемого статического IP-адреса.

Отключить веб-сервер = «нет http-сервера»
Если вы не хотите, чтобы порты обращались к сети vlan 1, не назначайте эти порты для vlan 1. Следует использовать брандмауэр или ACL для предотвращения маршрутизации между неавторизованными сетями/хостами.

Это очень просто

Настройте его интерфейс IPv4 так, чтобы он находился в сети VLAN, отличной от VLAN 1, и установите статический IP-адрес. Также удалите запись DHCP IPv4.

Затем настройте порт коммутатора по вашему выбору в качестве порта доступа к той VLAN, которую вы настроили ранее, и теперь у вас есть порт OOB. Убедитесь, что вы не разрешаете эту VLAN через любые магистрали.

В моей сети Cisco 9300 я перемещаю плоскость управления на vrf и привязываю следующие сервисы к этому vrf.
TFTP
SSH
SNMP
СИСТЕМНЫЙ ЛОГ
НТП

Ниже приведен сжатый и очищенный фрагмент соответствующих команд: ! версия 17.6! определение vrf Mgmt-vrf-адрес-семейство ipv4 выход-адрес-семейство ! переключатель 1 положение c9300-48t ! интерфейс GigabitEthernet0/0 vrf переадресация Mgmt-vrf IP-адрес 10.2.10.247 255.255.255.0 IP-группа доступа 103 в ! нет ip http server ip http класс доступа ipv4 11 ip http аутентификация локальная нет ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp исходный интерфейс GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0/0 ! ведение журнала информационное ведение журнала trap уведомления ведение журнала идентификатор-источника имени хоста ведение журнала интерфейс-источник GigabitEthernet0/0 vrf Mgmt-vrf ведение журнала snmp-trap информационный узел ведения журнала 192.168.10.252 vrf Mgmt-vrf ! список доступа ip стандарт 10 10 примечание Фильтровать попытки SSH 20 разрешить 192.168.10.248 0.0.0.7 журнал 30 разрешить 10.2.10.248 0.0.0.7 журнал 40 запретить любой журнал ip access-list стандарт 11 10 примечание Журнал попыток HTTP 20 запретить любой доступ к журналу ip -list стандартный 20 10 примечание Фильтровать попытки NTP 10 разрешить 192.168.10.101 20 запретить любой журнал IP-доступ-список стандарт 30 10 примечание Разрешить подключения SNMP 20 разрешить 192.168.10.251 30 разрешить 192.168.10.252 40 запретить любой журнал IP-доступ-список расширенный 103 10 Замечание ограничивает трафик в управление маршрутизатором 10 разрешение UDP 192.168.10.248 0.0.0.7 Host 10.2.10.247 EQ SNMP 20 разрешение UDP Host 192.168.10.101 HOST 10.2.10.247 EQ NTP 30 разрешение TCP 192.168.10.248 0.0.0.7 HOSE 10.10.2777 EQ 192.168.10.248 0.0.0.7 HOSE 10.10.2777.12 40.10.248 0.0.0.7 HOSE 10.10.2777. разрешить udp 192.168.10.248 0.0.0.7 хост 10.2.10.247 eq tftp 50 разрешить icmp 192.168.10.248 0.0.0.7 хост 10.2.10.247 60 запретить IP любой хост 10.2.10.247 журнал ! snmp-server group SOLAR v3 priv context vlan-10 read MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf version 3 priv SOLAR ! Ведение журнала ntp Ключ аутентификации ntp 1 md5 Доверенный ключ аутентификации ntp 1 Источник ntp GigabitEthernet0/0 Одноранговая группа доступа ntp 20 Сервер ntp vrf Mgmt-vrf 192.168.10.101 ! строка vty 0 1 тайм-аут сеанса 10 класс доступа 10 в vrfname Mgmt-vrf ведение журнала синхронный exec приглашение временная метка размер истории 100 транспорт предпочитаемый ssh ​​транспортный ввод ssh ! Одно предостережение: проверка Netflow на портах плоскости данных не будет передаваться на плоскость управления.
Эти коммутаторы являются домашними, интерфейс управления доступен в каждой виртуальной локальной сети, настроенной на уровень 3, и вы не можете их отключить. Вам нужно будет изменить vlan 1, чтобы иметь статический IP-адрес, а затем создать ACL, чтобы предотвратить доступ к сетям, к которым у него не должно быть доступа.

интерфейс управления доступен на каждом настроенном vlan
Чем он отличается от любого другого коммутатора l3? Вам нужно создать правила, чтобы предотвратить это.