Cisco 2950, 3550 Management VLAN og autorised mana

[Hagforce]

Heisann

 

Har kjøpt inn noen Cisco switcher.

Kjører et eget management VLAN i nettverket.

 

På procurve switchene er det veldig enkelt, setter management VLAN og telnet, http, SNMP etc mot switch kan kun nås fra dette VLAN.

Setter autorised manager IP address og kun denne IP kan nå switch.

 

Hvordan gjøre dette på Cisco?

Har sett litt på access list, men ser litt knotete ut.

 

Takker så meget for tips

[lohelle]

Heisann

 

Har kjøpt inn noen Cisco switcher.

Kjører et eget management VLAN i nettverket.

 

På procurve switchene er det veldig enkelt, setter management VLAN og telnet, http, SNMP etc mot switch kan kun nås fra dette VLAN.

Setter autorised manager IP address og kun denne IP kan nå switch.

 

Hvordan gjøre dette på Cisco?

Har sett litt på access list, men ser litt knotete ut.

 

Takker så meget for tips 

7945675[/snapback]

 

begrense telnet/ssh (med secure ip):

access-list 50 permit 192.168.1.1

access-list 50 deny any log

line vty 0 4

access-class 50 in

 

begrense snmp:

access-list 51 permit 192.168.1.1

access-list 51 deny any log

snmp-server community public ro 51

 

begrense http:

access-list 52 permit 192.168.1.1

access-list 52 deny any log

ip http access-class 52

 

ellers så er det vel bare å lage en access-list som sperrer all tilgang til management vlan (med unntak eventuelt).

[Hagforce]

Takker så meget lohelle

 

Men det du gjør her er å kun gi tilgang fra IP 192.168.1.1 riktig?

Jeg tenkte på å kun gi tilgang til ssh, tftp, telnet, http osv fra ett vlan, feks vlan 20.

Det er dette jeg gjør på resten av utstyret i nettverket, slik at de vanlige brukerene ikke ser det....

[lohelle]

Takker så meget lohelle

 

Men det du gjør her er å kun gi tilgang fra IP 192.168.1.1 riktig?

Jeg tenkte på å kun gi tilgang til ssh, tftp, telnet, http osv fra ett vlan, feks vlan 20.

Det er dette jeg gjør på resten av utstyret i nettverket, slik at de vanlige brukerene ikke ser det....

7946978[/snapback]

 

du kan alltids lage en access-list som dette da:

 

ip access-list extended management

permit tcp 192.168.200.0 0.0.0.255 any eq 22

permit tcp 192.168.200.0 0.0.0.255 any eq 23

permit tcp 192.168.200.0 0.0.0.255 any eq 69

permit tcp 192.168.200.0 0.0.0.255 any eq 80

permit udp 192.168.200.0 0.0.0.255 any eq 161

permit tcp 192.168.200.0 0.0.0.255 any eq 443

deny ip any any log-input

 

og kjøre:

conf t

interface vlan 1

ip access-group management in

 

dette tar utgangspunkt i at vlan 1 er management vlan på switchene (default) og at vlan 20 har subnet 192.168.200.0 255.255.255.0

 

om du kjører noen routing protokoller (internt mellom switchene altså) så må du passe på å åpne for disse også.

[CrZy_T]

Management VLAN'et kan du også sette i webconfigen.

[sumptrollet]

Sånn halvveis utenfor tema, NSA har endel tips om sikring av Cisco-utstyr. Ganske så feit blekke på 86 sider.

 

http://www.nsa.gov/snac/downloads_switches...enuID=scg10.3.1