Hagforce Skrevet 14. februar 2007 Skrevet 14. februar 2007 Heisann Har kjøpt inn noen Cisco switcher. Kjører et eget management VLAN i nettverket. På procurve switchene er det veldig enkelt, setter management VLAN og telnet, http, SNMP etc mot switch kan kun nås fra dette VLAN. Setter autorised manager IP address og kun denne IP kan nå switch. Hvordan gjøre dette på Cisco? Har sett litt på access list, men ser litt knotete ut. Takker så meget for tips
lohelle Skrevet 15. februar 2007 Skrevet 15. februar 2007 Heisann Har kjøpt inn noen Cisco switcher. Kjører et eget management VLAN i nettverket. På procurve switchene er det veldig enkelt, setter management VLAN og telnet, http, SNMP etc mot switch kan kun nås fra dette VLAN. Setter autorised manager IP address og kun denne IP kan nå switch. Hvordan gjøre dette på Cisco? Har sett litt på access list, men ser litt knotete ut. Takker så meget for tips 7945675[/snapback] begrense telnet/ssh (med secure ip): access-list 50 permit 192.168.1.1 access-list 50 deny any log line vty 0 4 access-class 50 in begrense snmp: access-list 51 permit 192.168.1.1 access-list 51 deny any log snmp-server community public ro 51 begrense http: access-list 52 permit 192.168.1.1 access-list 52 deny any log ip http access-class 52 ellers så er det vel bare å lage en access-list som sperrer all tilgang til management vlan (med unntak eventuelt).
Hagforce Skrevet 15. februar 2007 Forfatter Skrevet 15. februar 2007 Takker så meget lohelle Men det du gjør her er å kun gi tilgang fra IP 192.168.1.1 riktig? Jeg tenkte på å kun gi tilgang til ssh, tftp, telnet, http osv fra ett vlan, feks vlan 20. Det er dette jeg gjør på resten av utstyret i nettverket, slik at de vanlige brukerene ikke ser det....
lohelle Skrevet 15. februar 2007 Skrevet 15. februar 2007 Takker så meget lohelle Men det du gjør her er å kun gi tilgang fra IP 192.168.1.1 riktig? Jeg tenkte på å kun gi tilgang til ssh, tftp, telnet, http osv fra ett vlan, feks vlan 20. Det er dette jeg gjør på resten av utstyret i nettverket, slik at de vanlige brukerene ikke ser det.... 7946978[/snapback] du kan alltids lage en access-list som dette da: ip access-list extended management permit tcp 192.168.200.0 0.0.0.255 any eq 22 permit tcp 192.168.200.0 0.0.0.255 any eq 23 permit tcp 192.168.200.0 0.0.0.255 any eq 69 permit tcp 192.168.200.0 0.0.0.255 any eq 80 permit udp 192.168.200.0 0.0.0.255 any eq 161 permit tcp 192.168.200.0 0.0.0.255 any eq 443 deny ip any any log-input og kjøre: conf t interface vlan 1 ip access-group management in dette tar utgangspunkt i at vlan 1 er management vlan på switchene (default) og at vlan 20 har subnet 192.168.200.0 255.255.255.0 om du kjører noen routing protokoller (internt mellom switchene altså) så må du passe på å åpne for disse også.
CrZy_T Skrevet 15. februar 2007 Skrevet 15. februar 2007 Management VLAN'et kan du også sette i webconfigen.
sumptrollet Skrevet 15. februar 2007 Skrevet 15. februar 2007 Sånn halvveis utenfor tema, NSA har endel tips om sikring av Cisco-utstyr. Ganske så feit blekke på 86 sider. http://www.nsa.gov/snac/downloads_switches...enuID=scg10.3.1
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå