= CBS 350: سوئچ کے باقاعدہ ایتھرنیٹ پورٹس سے مینجمنٹ ویب انٹرفیس تک رسائی کو کیسے غیر فعال کیا جائے؟ =

مجھے مختلف کمپیوٹرز سے ایتھرنیٹ ٹریفک کا انتظام کرنے کے لیے ایک CBS350 سوئچ ملا۔ میرا موجودہ سیٹ اپ کمپیوٹرز کے IPMI مینجمنٹ انٹرفیس تک رسائی فراہم کرنے کے لیے ایک مکمل طور پر علیحدہ نیٹ ورک کا استعمال کرتا ہے، اور میں سسکو سوئچ کے لیے بھی ایسا ہی کرنا چاہوں گا۔

سوئچ کو OOB پورٹ کے ذریعے IPMI نیٹ ورک سے جڑا ہوا ہے، اور میں اس نیٹ ورک میں کسی بھی کمپیوٹر سے مینجمنٹ ویب انٹرفیس تک رسائی حاصل کر سکتا ہوں۔ ایسا لگتا ہے کہ CBS350 خود بھی DHCP سرور سے IPv4 ایڈریس حاصل کرتا ہے جو کسی بھی باقاعدہ ایتھرنیٹ پورٹ سے منسلک ہے، اس لیے اس نیٹ ورک پر مینجمنٹ ویب سرور تک رسائی حاصل کر سکتا ہے۔

میں اس رویے کو کیسے غیر فعال کروں؟ اس سے کوئی فرق نہیں پڑتا ہے کہ مینجمنٹ ویب سرور کتنا ہی محفوظ ہے، جلد یا بدیر کسی کو اس سے فائدہ اٹھانے کا خطرہ ملے گا۔ میں چاہتا ہوں کہ مینجمنٹ انٹرفیس صرف OOB پورٹ کے ذریعے دستیاب ہو۔

میں نے IPv4 خدمات کی کوشش کی، لیکن ایسا لگتا ہے کہ VLAN1 اصول کو حذف کرنے کا کوئی طریقہ نہیں ہے۔ سب سے قریبی چیز جو میں کر سکتا تھا وہ یہ تھا کہ اسے ناقابل استعمال جامد IP ایڈریس استعمال کرنے کے لیے ترتیب دیا جائے۔

ویب سرور کو غیر فعال کریں = 'کوئی HTTP سرور نہیں'اگر آپ نہیں چاہتے کہ بندرگاہیں vlan 1 نیٹ ورک تک رسائی حاصل کریں، تو ان بندرگاہوں کو vlan 1 کو تفویض نہ کریں۔ غیر مجاز نیٹ ورکس/میزبانوں کے درمیان روٹنگ کو روکنے کے لیے فائر وال یا ACL کا استعمال کیا جانا چاہیے۔

یہ واقعی بہت آسان ہے۔

اس کے IPv4 انٹرفیس کو VLAN 1 کے علاوہ کسی دوسرے VLAN پر ہونے کے لیے کنفیگر کریں اور ایک مستحکم IP ایڈریس سیٹ کریں۔ DHCP IPv4 اندراج کو بھی حذف کریں۔

پھر اپنی پسند کے سوئچ پورٹ کو ایک رسائی پورٹ کے طور پر اس VLAN کے ساتھ کنفیگر کریں جسے آپ نے پہلے کنفیگر کیا تھا، اور اب آپ کے پاس OOB پورٹ ہے۔ اس بات کو یقینی بنائیں کہ آپ اس VLAN کو کسی بھی ٹرنک میں اجازت نہیں دیتے ہیں۔

سسکو 9300 کے اپنے نیٹ ورک پر میں انتظامی جہاز کو ایک وی آر ایف میں منتقل کرتا ہوں اور درج ذیل خدمات کو اس وی آر ایف سے جوڑتا ہوں
TFTP
ایس ایس ایچ
ایس این ایم پی
SYSLOG
این ٹی پی

ذیل میں درج ذیل میں متعلقہ کمانڈز کا ایک کنڈینسڈ اور سینیٹائزڈ ٹکڑا ہے: ! ورژن 17.6! vrf کی تعریف Mgmt-vrf ایڈریس-فیملی ipv4 ایگزٹ ایڈریس فیملی! سوئچ 1 پروویژن c9300-48t! انٹرفیس GigabitEthernet0/0 vrf فارورڈنگ Mgmt-vrf ip ایڈریس 10.2.10.247 255.255.255.0 ip access-group 103 in ! کوئی ip HTTP سرور ip HTTP رسائی-کلاس ipv4 11 ip HTTP توثیق مقامی کوئی ip http محفوظ-سرور ip http safe-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip HTTP کلائنٹ سورس-انٹرفیس GigabitEthernet0/0 ip tftp source-interface GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh ٹائم آؤٹ 60 ip-sshnet/Ethernet source! لاگنگ کی تاریخ معلوماتی لاگنگ ٹریپ اطلاعات لاگنگ اوریجن آئی ڈی میزبان نام لاگنگ سورس-انٹرفیس GigabitEthernet0/0 vrf Mgmt-vrf لاگنگ snmp-trap معلوماتی لاگنگ میزبان 192.168.10.252 vrf Mgmt-vrf ip رسائی کی فہرست معیاری 10 10 تبصرہ فلٹر SSH کوششیں 20 اجازت نامہ 192.168.10.248 0.0.0.7 لاگ 30 اجازت نامہ 10.2.10.248 0.0.0.7 لاگ 40 کسی بھی لاگ سے انکار کریں ip رسائی کی فہرست کسی بھی لاگ ان کریں فہرست معیاری 20 10 تبصرہ فلٹر NTP کوششیں 10 اجازت نامہ 192.168.10.101 20 کسی بھی لاگ آئی پی رسائی کی فہرست سے انکار کریں معیاری 30 10 تبصرہ SNMP کنکشنز کو اجازت دیں 20 اجازت نامہ 192.168.10.251 30 اجازت دیں ریمارکس راؤٹر مینجمنٹ 10 پرمٹ UDP میں ٹریفک کو محدود کریں UDP 192.168.10.248 0.0.0.7 میزبان 10.2.10.147 EQ SNMP 20 اجازت نامہ UDP میزبان 192.168.10.101 ہوسٹ 10.2.10.247 EQ NTP 30 اجازت TCP 192.168.10.248 0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0.0 اجازت udp 192.168.10.248 0.0.0.7 میزبان 10.2.10.247 eq tftp 50 پرمٹ icmp 192.168.10.248 0.0.0.7 میزبان 10.2.10.247 ہوسٹ 60.2.10.247 60.201 کسی بھی میزبان! snmp-server گروپ SOLAR v3 priv context vlan-10 MGMT رسائی 30 snmp-server trap-source GigabitEthernet0/0 snmp-server میزبان 192.168.10.252 vrf Mgmt-vrf ورژن 3 پرائیو سولر! این ٹی پی لاگنگ این ٹی پی توثیق کی کلید 1 ایم ڈی 5 این ٹی پی مستند کلید ٹرسٹڈ کلید 1 این ٹی پی سورس گیگا بائٹ ایتھرنیٹ0/0 این ٹی پی رسائی گروپ پیئر 20 این ٹی پی سرور وی آر ایف ایم جی ایم ٹی وی آر ایف 192.168.10.101 ! لائن vty 0 1 سیشن ٹائم آؤٹ 10 رسائی-کلاس 10 میں vrfname Mgmt-vrf لاگنگ سنکرونس exec پرامپٹ ٹائم اسٹیمپ ہسٹری سائز 100 ٹرانسپورٹ ترجیحی ssh ٹرانسپورٹ ان پٹ ssh ! ایک انتباہ یہ ہے کہ ڈیٹا ہوائی جہاز کی بندرگاہوں پر نیٹ فلو معائنہ انتظامی جہاز کے پاس نہیں جائے گا۔
یہ سوئچز ہیں، انتظامی انٹرفیس ہر پرت 3 کے ساتھ ترتیب شدہ vlan پر دستیاب ہے اور آپ انہیں بند نہیں کر سکتے۔ آپ کو ایک مستحکم IP ایڈریس رکھنے کے لیے vlan 1 کو تبدیل کرنا ہوگا اور پھر ACLs بنانا ہوگا تاکہ ان نیٹ ورکس تک رسائی کو روکا جا سکے جن تک اسے بھی رسائی نہیں ہونی چاہیے۔

مینجمنٹ انٹرفیس ہر ترتیب شدہ vlan پر دستیاب ہے۔
یہ کسی دوسرے L3 سوئچ سے کیسے مختلف ہے؟ اس کو روکنے کے لیے آپ کو قوانین بنانے کی ضرورت ہے۔