r/Cisco - CBS 350: paano i-disable ang access sa management web interface mula sa mga regular na Ethernet port ng switch?

= CBS 350: paano i-disable ang access sa web interface ng pamamahala mula sa mga regular na Ethernet port ng switch? =

Nakakuha ako ng switch ng CBS350 upang pamahalaan ang trapiko ng Ethernet mula sa iba't ibang mga computer. Ang aking kasalukuyang setup ay gumagamit ng isang ganap na nakahiwalay na network upang magbigay ng access sa IPMI management interface ng mga computer, at gusto kong gawin din ito para sa Cisco switch

Ang switch ay nakakabit sa pamamagitan ng OOB port sa IPMI network, at maa-access ko ang pamamahala sa Web interface mula sa anumang computer sa network na ito. Mukhang ang CBS350 mismo ay nakakakuha din ng IPv4 address mula sa isang DHCP server na nakakonekta sa alinman sa mga regular na Ethernet port, para magkaroon ito ng management Web server na ma-access sa network na iyon

Paano ko idi-disable ang gawi na ito? Gaano man ka-secure ang pamamahala sa Web server, maya-maya ay may makakahanap ng kahinaan upang pagsamantalahan ito. Gusto kong ang interface ng pamamahala ay magagamit lamang sa pamamagitan ng OOB port

Sinubukan ko ang mga serbisyo ng IPv4, ngunit mukhang walang paraan upang tanggalin ang panuntunan ng VLAN1. Ang pinakamalapit na bagay na magagawa ko ay ang i-setup ito upang gumamit ng isang hindi maalis na static na IP address

Huwag paganahin ang web server = 'walang http server'Kung ayaw mong ma-access ng mga port ang vlan 1 network, huwag italaga ang mga port na iyon sa vlan 1. Dapat gumamit ng firewall o ACL para maiwasan ang pagruruta sa pagitan ng mga hindi awtorisadong network/host

Ito ay talagang simple

I-configure ang interface ng IPv4 na nasa VLAN maliban sa VLAN 1 at magtakda ng static na IP address. Tanggalin din ang DHCP IPv4 entry

Pagkatapos ay i-configure ang switch port na iyong pinili bilang isang access port gamit ang VLAN na iyong na-configure kanina, at mayroon ka na ngayong OOB port. Tiyaking hindi mo pinapayagan ang VLAN na iyon sa anumang trunks

Sa aking network ng Cisco 9300's inilipat ko ang management plane sa isang vrf at itinatali ang mga sumusunod na serbisyo sa vrf na iyon
TFTP
SSH
SNMP
SYSLOG
NTP
 #
Ang nakalista sa ibaba ay isang condensed at sanitized na snippet ng mga nauugnay na command: ! bersyon 17.6! vrf definition Mgmt-vrf address-family ipv4 exit-address-family ! lumipat ng 1 probisyon c9300-48t ! interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 10.2.10.247 255.255.255.0 ip access-group 103 sa ! walang ip http server ip http access-class ipv4 11 ip http authentication local no ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface ! kasaysayan ng pag-log impormasyonal logging trap notifications logging origin-id hostname logging source-interface GigabitEthernet0/0 vrf Mgmt-vrf logging snmp-trap informational logging host 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 remark I-filter ang SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 deny any log ip access-list standard 11 10 remark i Log Attempt HTTP access -list standard 20 10 remark I-filter ang NTP Attempts 10 permit 192.168.10.101 20 deny any log ip access-list standard 30 10 remark Allow SNMP Connections 20 permit 192.168.10.251 30 permit-list access 192.168 i-extend 102.168 i-extend 102.168 log10. Pahayag na paghihigpitan ng trapiko sa pamamahala ng router 10 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq snmp 20 permit udp host 192.168.10.101 host 10.2.10.247 eq ntp 30 permit tcp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq 21 40 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq tftp 50 permit icmp 192.168.10.248 0.0.0.7 host 10.2.10.247 60 deny ip2.7 log ! snmp-server group SOLAR v3 priv context vlan-10 read MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf version 3 priv SOLAR ! ntp logging ntp authentication-key 1 md5 ntp authenticatentp trusted-key 1 ntp source GigabitEthernet0/0 ntp access-group peer 20 ntp server vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 sa vrfname Mgmt-vrf logging synchronous exec prompt timestamp history size 100 transport preferred ssh transport input ssh ! Ang isang caveat ay ang inspeksyon ng Netflow sa mga port ng data plane ay hindi ipapasa sa management plane
Ang mga switch na ito ay nasa bahay, ang interface ng pamamahala ay magagamit sa bawat vlan na na-configure sa layer 3 at hindi mo maaaring i-off ang mga ito. Kakailanganin mong baguhin ang vlan 1 upang magkaroon ng static na IP address at pagkatapos ay lumikha ng mga ACL upang maiwasan ang pag-access sa mga network na hindi rin dapat magkaroon ng access.

ang interface ng pamamahala ay magagamit sa bawat vlan na na-configure
Paano ito naiiba kaysa sa ibang l3 switch? Kailangan mong lumikha ng mga panuntunan upang maiwasan ito.