r/Cisco - CBS 350: hur inaktiverar man åtkomst till hanteringswebbgränssnittet från switchens vanliga Ethernet-portar?

= CBS 350: hur inaktiverar man åtkomst till hanteringswebbgränssnittet från switchens vanliga Ethernet-portar? =

Jag fick en CBS350-switch för att hantera Ethernet-trafiken från olika datorer. Min nuvarande installation använder ett helt separerat nätverk för att ge åtkomst till IPMI-hanteringsgränssnittet för datorerna, och jag skulle vilja göra detsamma för Cisco switch

Switchen är ansluten via OOB-porten till IPMI-nätverket, och jag kan komma åt hanteringswebbgränssnittet från vilken dator som helst i detta nätverk. Det ser ut som att CBS350 själv också får en IPv4-adress från en DHCP-server som är ansluten till någon av de vanliga Ethernet-portarna, så att den kan ha administrationswebbservern tillgänglig i det nätverket

Hur inaktiverar jag detta beteende? Oavsett hur säker hanteringswebbservern är, kommer någon förr eller senare att hitta en sårbarhet för att utnyttja den. Jag vill att hanteringsgränssnittet endast ska vara tillgängligt via OOB-porten

Jag försökte IPv4-tjänster, men det verkar som att det inte finns något sätt att ta bort VLAN1-regeln. Det närmaste jag kunde göra var att ställa in den för att använda en statisk IP-adress som inte kan dirigeras

Inaktivera webbservern = 'ingen http-server'Om du inte vill att portar ska få åtkomst till vlan 1-nätverket, tilldela inte dessa portar till vlan 1. En brandvägg eller ACL bör användas för att förhindra routing mellan obehöriga nätverk/värdar

Det är verkligen enkelt

Konfigurera dess IPv4-gränssnitt för att vara på ett annat VLAN än VLAN 1 och ange en statisk IP-adress. Ta också bort DHCP IPv4-posten

Konfigurera sedan switchporten som du väljer som en åtkomstport med det VLAN du konfigurerade tidigare, och nu har du en OOB-port. Se till att du inte tillåter det VLAN över några trunkar

På mitt nätverk av Cisco 9300 flyttar jag hanteringsplanet till en vrf och kopplar följande tjänster till den vrf:n
TFTP
SSH
SNMP
SYSLOG
NTP

Nedan listas ett komprimerat och sanerat utdrag av relevanta kommandon: ! version 17.6! vrf definition Mgmt-vrf adress-familj ipv4 exit-adress-familj ! switch 1 provision c9300-48t ! gränssnitt GigabitEthernet0/0 vrf-vidarebefordran Mgmt-vrf ip-adress 10.2.10.247 255.255.255.0 ip-åtkomstgrupp 103 i ! ingen ip http server ip http åtkomstklass ipv4 11 ip http autentisering lokal ingen ip http säker server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-anslutningar 1 ip http klient källgränssnitt GigabitEthernet0/0 ip tftp källgränssnitt GigabitEthernet0/0 ip tftp blockstorlek 1482 ip rutt vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip Gigabit 0 källgränssnitt E! loggningshistorik informationsloggning trap-meddelanden loggning ursprung-id värdnamn loggning källgränssnitt GigabitEthernet0/0 vrf Mgmt-vrf-loggning snmp-trap informationsloggningsvärd 192.168.10.252 vrf Mgmt-vrf ! ip-åtkomstlista standard 10 10 anmärkning Filter SSH-försök 20 tillåter 192.168.10.248 0.0.0.7 log 30 tillåt 10.2.10.248 0.0.0.7 log 40 neka någon logg ip-åtkomstlista standard 11 10 åtkomst anmärkning logip 10 HTTP-åtkomst logi20 -lista standard 20 10 anmärkning Filter NTP-försök 10 tillåta 192.168.10.101 20 neka någon logg ip-åtkomstlista standard 30 10 anmärkning Tillåt SNMP-anslutningar 20 tillåta 192.168.10.251 30 tillåta 192.1252 192.1252 192.1252 192.1252 192.1252 190. remark Restrict Traffic INTO Router Management 10 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq snmp 20 permit udp host 192.168.10.101 host 10.2.10.247 eq ntp 30 permit tcp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq 22 40 tillåt udp 192.168.10.248 0.0.0.7 värd 10.2.10.247 eq tftp 50 tillåt icmp 192.168.10.248 0.0.0.7 värd 10.2.10.247 60 förnekar 10 ip. log1 0 ip. snmp-servergrupp SOLAR v3 priv kontext vlan-10 läs MGMT-åtkomst 30 snmp-server trap-source GigabitEthernet0/0 snmp-server värd 192.168.10.252 vrf Mgmt-vrf version 3 priv SOLAR ! ntp-loggning ntp-autentiseringsnyckel 1 md5 ntp-autentiseringsnyckel 1 ntp-källa GigabitEthernet0/0 ntp-åtkomstgrupp peer 20 ntp-server vrf Mgmt-vrf 192.168.10.101 ! linje vty 0 1 session-timeout 10 åtkomstklass 10 i vrfname Mgmt-vrf-loggning synkron exec-prompt tidsstämpelhistorik storlek 100 transport föredragen ssh transportingång ssh ! En varning är att Netflow-inspektion på dataplansportar inte kommer att gå över till hanteringsplanet
Dessa switchar finns i huset, hanteringsgränssnittet är tillgängligt på varje vlan som konfigurerats med lager 3 och du kan inte stänga av dem. Du måste ändra vlan 1 för att ha en statisk IP-adress och sedan skapa ACL:er för att förhindra åtkomst till de nätverk som den inte borde ha tillgång till också

hanteringsgränssnittet är tillgängligt på varje vlan som konfigurerats
Hur skiljer det sig från någon annan l3-switch? Du måste skapa regler för att förhindra detta.