r/Cisco - CBS 350：如何禁止从交换机的常规以太网端口访问管理 Web 界面？

= CBS 350：如何禁止从交换机的常规以太网端口访问管理 Web 界面？ = 我有一个 CBS350 交换机来管理来自不同计算机的以太网流量。我当前的设置使用完全独立的网络来提供对计算机 IPMI 管理界面的访问，我想对 Cisco 交换机做同样的事情交换机通过 OOB 端口连接到 IPMI 网络，我可以从该网络中的任何计算机访问管理 Web 界面。看起来 CBS350 本身也从连接到任何常规以太网端口的 DHCP 服务器获取 IPv4 地址，因此它可以在该网络上访问管理 Web 服务器如何禁用此行为？无论管理 Web 服务器多么安全，迟早有人会发现一个漏洞来利用它。我希望管理界面只能通过 OOB 端口使用我尝试了 IPv4 服务，但似乎无法删除 VLAN1 规则。我能做的最接近的事情就是让它设置为使用不可路由的静态 IP 地址禁用网络服务器 = '无 http 服务器'如果您不希望端口访问 vlan 1 网络，请不要将这些端口分配给 vlan 1。应使用防火墙或 ACL 来防止未经授权的网络/主机之间的路由真的很简单将其 IPv4 接口配置为 VLAN 1 以外的 VLAN 并设置静态 IP 地址。同时删除 DHCP IPv4 条目然后将您选择的交换机端口配置为具有您之前配置的 VLAN 的访问端口，现在您有了一个 OOB 端口。确保不允许该 VLAN 跨任何中继在我的 Cisco 9300 网络上，我将管理平面移动到 vrf 并将以下服务绑定到该 vrf 传输协议 SSH SNMP 系统日志 NTP 下面列出了相关命令的浓缩和净化片段：！ 17.6 版！ vrf 定义 Mgmt-vrf 地址系列 ipv4 出口地址系列！开关 1 规定 c9300-48t ! interface GigabitEthernet0/0 vrf forwarding Mgmt-vrf ip address 10.2.10.247 255.255.255.0 ip access-group 103 in !没有 ip http 服务器 ip http 访问类 ipv4 11 ip http 身份验证本地 no ip http secure-server ip http secure-ciphersuite rsa-aes-gcm-sha2 ip http max-connections 1 ip http client source-interface GigabitEthernet0/0 ip tftp源接口 GigabitEthernet0/0 ip tftp blocksize 1482 ip route vrf Mgmt-vrf 0.0.0.0 0.0.0.0 10.2.10.246 ip ssh maxstartups 2 ip ssh 超时 60 ip ssh 源接口 GigabitEthernet0/0 ！日志记录历史信息日志记录陷阱通知日志记录源 ID 主机名日志记录源接口 GigabitEthernet0/0 vrf Mgmt-vrf 日志记录 snmp-trap 信息日志记录主机 192.168.10.252 vrf Mgmt-vrf！ ip access-list standard 10 10 remark Filter SSH Attempts 20 permit 192.168.10.248 0.0.0.7 log 30 permit 10.2.10.248 0.0.0.7 log 40 deny any log ip access-list standard 11 10 remark Log HTTP Attempts 20 deny any log ip 访问-list standard 20 10 remark Filter NTP Attempts 10 permit 192.168.10.101 20 deny any log ip access-list standard 30 10 remark Allow SNMP Connections 20 permit 192.168.10.251 30 permit 192.168.10.252 40 deny any log ip access-list 扩展 103 10 remark Restrict Traffic INTO Router Management 10 permit udp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq snmp 20 permit udp host 192.168.10.101 host 10.2.10.247 eq ntp 30 permit tcp 192.168.10.248 0.0.0.7 host 10.2.10.247 eq 22 40允许 udp 192.168.10.248 0.0.0.7 主机 10.2.10.247 eq tftp 50 允许 icmp 192.168.10.248 0.0.0.7 主机 10.2.10.247 60 拒绝 ip 任何主机 10.2.10.247 日志！ snmp-server group SOLAR v3 priv context vlan-10 read MGMT access 30 snmp-server trap-source GigabitEthernet0/0 snmp-server host 192.168.10.252 vrf Mgmt-vrf version 3 priv SOLAR ! ntp 日志记录 ntp 身份验证密钥 1 md5 ntp authenticentp 可信密钥 1 ntp 源 GigabitEthernet0/0 ntp 访问组对等 20 ntp 服务器 vrf Mgmt-vrf 192.168.10.101 ！ line vty 0 1 session-timeout 10 access-class 10 in vrfname Mgmt-vrf logging synchronous exec prompt timestamp history size 100 transport preferred ssh transport input ssh !一个警告是数据平面端口上的 Netflow 检查不会传递到管理平面这些交换机在家里，管理接口在配置了第 3 层的每个 vlan 上都可用，您无法关闭它们。您需要将 vlan 1 更改为具有静态 IP 地址，然后创建 ACL 以防止访问它不应该访问的网络管理接口在配置的每个 vlan 上都可用这与任何其他 l3 交换机有何不同？您需要创建规则来防止这种情况发生。