r/Cisco - CBS 350: làm cách nào để vô hiệu hóa quyền truy cập vào giao diện web quản lý từ các cổng Ethernet thông thường của bộ chuyển mạch?

= CBS 350: làm cách nào để tắt quyền truy cập vào giao diện web quản lý từ các cổng Ethernet thông thường của bộ chuyển mạch? =

Tôi có một bộ chuyển mạch CBS350 để quản lý lưu lượng Ethernet từ nhiều máy tính khác nhau. Thiết lập hiện tại của tôi sử dụng một mạng hoàn toàn tách biệt để cung cấp quyền truy cập vào giao diện quản lý IPMI của máy tính và tôi muốn làm điều tương tự đối với bộ chuyển mạch của Cisco

Công tắc được kết nối thông qua cổng OOB với mạng IPMI và tôi có thể truy cập giao diện Web quản lý từ bất kỳ máy tính nào trong mạng này. Có vẻ như bản thân CBS350 cũng nhận được địa chỉ IPv4 từ máy chủ DHCP được kết nối với bất kỳ cổng Ethernet thông thường nào, do đó, nó có thể truy cập máy chủ Web quản lý trên mạng đó

Làm cách nào để tắt hành vi này? Cho dù máy chủ Web quản lý có an toàn đến đâu thì sớm muộn gì cũng sẽ có người tìm ra lỗ hổng để khai thác. Tôi muốn giao diện quản lý chỉ khả dụng qua cổng OOB

Tôi đã thử các dịch vụ IPv4, nhưng có vẻ như không có cách nào để xóa quy tắc VLAN1. Điều gần nhất tôi có thể làm là thiết lập nó để sử dụng địa chỉ IP tĩnh không thể định tuyến

Vô hiệu hóa máy chủ web = 'không có máy chủ http'Nếu bạn không muốn các cổng truy cập vào mạng vlan 1, đừng gán các cổng đó cho vlan 1. Nên sử dụng tường lửa hoặc ACL để ngăn chặn việc định tuyến giữa các mạng/máy chủ trái phép

Nó thực sự đơn giản

Định cấu hình giao diện IPv4 của nó trên Vlan khác với Vlan 1 và đặt địa chỉ IP tĩnh. Xóa cả mục nhập DHCP IPv4

Sau đó định cấu hình cổng chuyển đổi mà bạn chọn làm cổng truy cập với Vlan mà bạn đã định cấu hình trước đó và bây giờ bạn có một cổng OOB. Đảm bảo rằng bạn không cho phép Vlan đó trên bất kỳ trung kế nào

Trên mạng Cisco 9300 của tôi, tôi chuyển mặt phẳng quản lý sang vrf và kết hợp các dịch vụ sau với vrf đó
TFTP
SSH
SNMP
HỆ THỐNG
NTP

Liệt kê dưới đây là một đoạn ngắn gọn và làm sạch của các lệnh có liên quan: ! phiên bản 17.6! định nghĩa vrf Mgmt-vrf address-family ipv4 exit-address-family ! chuyển 1 cung cấp c9300-48t ! giao diện GigabitEthernet0/0 chuyển tiếp vrf địa chỉ ip Mgmt-vrf 10.2.10.247 255.255.255.0 nhóm truy cập ip 103 trong ! không có máy chủ ip http máy chủ ip http lớp truy cập ipv4 11 ip http xác thực cục bộ không ip http máy chủ bảo mật ip http bộ mật mã bảo mật rsa-aes-gcm-sha2 ip http kết nối tối đa 1 ip http giao diện nguồn máy khách GigabitEthernet0/0 ip tftp giao diện nguồn GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh time-out 60 ip ssh giao diện nguồn GigabitEthernet0/0 ! lịch sử ghi nhật ký thông báo bẫy ghi nhật ký ghi nhật ký tên máy chủ gốc-id ghi nhật ký giao diện nguồn GigabitEthernet0/0 vrf Mgmt-vrf ghi nhật ký máy chủ lưu trữ ghi nhật ký thông tin snmp-trap 192.168.10.252 vrf Mgmt-vrf ! danh sách truy cập ip tiêu chuẩn 10 10 nhận xét Bộ lọc Các lần thử SSH 20 cho phép 192.168.10.248 0.0.0.7 log 30 cho phép 10.2.10.248 0.0.0.7 log 40 từ chối mọi nhật ký danh sách truy cập ip tiêu chuẩn 11 10 nhận xét Đăng nhập HTTP Các lần thử 20 từ chối mọi truy cập ip nhật ký -list tiêu chuẩn 20 10 ghi chú Bộ lọc NTP Nỗ lực 10 cho phép 192.168.10.101 20 từ chối mọi bản ghi ip danh sách truy cập tiêu chuẩn 30 10 ghi chú Cho phép kết nối SNMP 20 cho phép 192.168.10.251 30 cho phép 192.168.10.252 40 từ chối mọi bản ghi ip danh sách truy cập mở rộng 103 10 nhận xét Hạn chế lưu lượng VÀO Quản lý bộ định tuyến 10 cho phép udp 192.168.10.248 0.0.0.7 máy chủ 10.2.10.247 eq snmp 20 cho phép máy chủ udp 192.168.10.101 máy chủ 10.2.10.247 eq ntp 30 cho phép tcp 192.168.10.248 0.0.0.0.7 máy chủ 10.0.0.0.7q 2 eq ntp 30 cho phép udp 192.168.10.248 0.0.0.7 máy chủ 10.2.10.247 eq tftp 50 cho phép icmp 192.168.10.248 0.0.0.7 máy chủ 10.2.10.247 60 từ chối ip bất kỳ máy chủ nào 10.2.10.247 nhật ký ! snmp-server group SOLAR v3 private context vlan-10 read MGMT access 30 snmp-server bẫy nguồn GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf phiên bản 3 private SOLAR ! ghi nhật ký ntp khóa xác thực ntp 1 md5 khóa xác thực ntp khóa đáng tin cậy 1 nguồn ntp GigabitEthernet0/0 nhóm truy cập ntp ngang hàng 20 máy chủ ntp vrf Mgmt-vrf 192.168.10.101 ! dòng vty 0 1 thời gian chờ phiên 10 lớp truy cập 10 trong vrfname Ghi nhật ký Mgmt-vrf đồng bộ exec nhắc lịch sử dấu thời gian kích thước 100 vận chuyển đầu vào vận chuyển ssh ưu tiên ssh ! Một lưu ý là việc kiểm tra Netflow trên các cổng của mặt phẳng dữ liệu sẽ không chuyển sang mặt phẳng quản lý
Các switch này là house, giao diện quản lý có trên mọi vlan đã cấu hình layer 3 và bạn không thể tắt chúng đi. Bạn sẽ cần thay đổi vlan 1 để có địa chỉ IP tĩnh và sau đó tạo ACL để ngăn truy cập vào các mạng mà nó cũng không nên truy cập

giao diện quản lý có sẵn trên mọi vlan được cấu hình
Nó khác với bất kỳ công tắc l3 nào khác như thế nào? Bạn cần tạo các quy tắc để ngăn chặn điều này.