= CBS 350: як вимкнути доступ до веб-інтерфейсу керування зі звичайних портів Ethernet комутатора? =

Я отримав комутатор CBS350 для керування трафіком Ethernet з різних комп’ютерів. Мої поточні налаштування використовують повністю відокремлену мережу для надання доступу до інтерфейсу керування IPMI комп’ютерів, і я хотів би зробити те саме для комутатора Cisco

Комутатор підключено через порт OOB до мережі IPMI, і я можу отримати доступ до веб-інтерфейсу керування з будь-якого комп’ютера в цій мережі. Схоже, сам CBS350 також отримує адресу IPv4 від сервера DHCP, підключеного до будь-якого зі звичайних портів Ethernet, тому він може мати доступ до веб-сервера керування в цій мережі

Як вимкнути таку поведінку? Незалежно від того, наскільки безпечним є веб-сервер керування, рано чи пізно хтось знайде вразливе місце, щоб використати його. Я хочу, щоб інтерфейс керування був доступний лише через порт OOB

Я спробував служби IPv4, але, схоже, неможливо видалити правило VLAN1. Найближче, що я міг зробити, це налаштувати його на використання немаршрутизованої статичної IP-адреси

Вимкнути веб-сервер = 'no http server'Якщо ви не хочете, щоб порти отримували доступ до мережі vlan 1, не призначайте ці порти для vlan 1. Щоб запобігти маршрутизації між несанкціонованими мережами/хостами, слід використовувати брандмауер або ACL

Це дуже просто

Налаштуйте його інтерфейс IPv4 на VLAN, відмінну від VLAN 1, і встановіть статичну IP-адресу. Також видаліть запис DHCP IPv4

Потім налаштуйте порт комутатора за вашим вибором як порт доступу з тією VLAN, яку ви налаштували раніше, і тепер у вас є порт OOB. Переконайтеся, що ви не дозволяєте цю VLAN через будь-які магістралі

У моїй мережі Cisco 9300 я переміщую рівень керування на vrf і прив’язую такі служби до цього vrf
TFTP
SSH
SNMP
SYSLOG
NTP

Нижче наведено стислий і очищений фрагмент відповідних команд: ! версія 17.6! визначення vrf Mgmt-vrf сімейство адрес ipv4 сімейство вихідних адрес! перемикач 1 положення c9300-48t ! інтерфейс GigabitEthernet0/0 vrf переадресація Mgmt-vrf ip-адреса 10.2.10.247 255.255.255.0 ip-група доступу 103 у ! no ip http server ip http access-class ipv4 11 ip http authentication local no ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp вихідний інтерфейс GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh source-interface GigabitEthernet0/0 ! ведення журналу сповіщення про сповіщення про інформаційне ведення журналу ведення журналу origin-id ім’я хоста журналювання джерело-інтерфейс GigabitEthernet0/0 vrf Mgmt-vrf logging snmp-trap інформаційне журналювання хост 192.168.10.252 vrf Mgmt-vrf ! ip access-list standard 10 10 remark Filter SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 deny any log ip access-list standard 11 10 remark Log HTTP Attempts 20 deny any log ip access -list стандартний 20 10 зауваження Filter NTP Attempts 10 permit 192.168.10.101 20 deny any log ip access-list standard 30 10 remark Allow SNMP Connections 20 permit 192.168.10.251 30 permit 192.168.10.252 40 deny any log ip access-list extended 103 10 Зауваження Обмежування трафіку в управлінні маршрутизатором 10 Дозвіл UDP 192.168.10.248 0.0.0.7 Хост 10.2.10.247 EQ SNMP 20 Дозвіл UDP HOST 192.168.10.101 Хост 10.2.10.247 EQ NTP 30 Дозвіл TCP 192.168.10.248 0.0.0.7 Хост 10.1.10. дозвіл udp 192.168.10.248 0.0.0.7 хост 10.2.10.247 eq tftp 50 дозвіл icmp 192.168.10.248 0.0.0.7 хост 10.2.10.247 60 заборона ip будь-якого хоста 10.2.10.247 журнал! snmp-сервер group SOLAR v3 priv контекст vlan-10 читання MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf версія 3 priv SOLAR ! ntp logging ntp authentication-key 1 md5 ntp authenticatentp trusted-key 1 ntp source GigabitEthernet0/0 ntp access-group peer 20 ntp server vrf Mgmt-vrf 192.168.10.101 ! line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf logging synchronous exec prompt timestamp history size 100 transport preferred ssh transport input ssh ! Одне застереження полягає в тому, що перевірка Netflow на портах площини даних не переходить до площини керування
Ці перемикачі є власними, інтерфейс керування доступний на кожній vlan, налаштованій за допомогою рівня 3, і ви не можете їх вимкнути. Вам потрібно буде змінити vlan 1 на статичну IP-адресу, а потім створити ACL, щоб запобігти доступу до мереж, до яких він також не повинен мати доступу

інтерфейс керування доступний для кожної налаштованої vlan
Чим він відрізняється від будь-якого іншого комутатора l3? Вам потрібно створити правила, щоб запобігти цьому.