10
Sg-500 Switch L3 Routing, Zugriff auf Management Interface unterbinden
Hallo zusammen,
ich betreibe einen SG-500-52 als Core Switch. Er Routet auch zwischen den verschiedenen VLAN's.
Nun ist es so, dass wenn man die Gatewayadresse des jeweiligen VLAN's eingibt zwangsläufig auf die Login Seite des Management Interfaces kommt.
Ich könnte natürlich einfach den HTTP/HTTPS Zugriff komplett abschalten aber das wäre dann die Brachial-Methode.
Hat jemand eine Idee wie man das unterbinden kann?
Leider gibt es (oder ich habe sie nicht gefunden) keine Möglichkeit das Management Interface an einen Port zu binden. Zumindest nicht im L3 Betrieb..
ACL's bringen natürlich auch nichts, da diese ja erst im Routing greifen.
Danke schon mal für Ideen.
lg
Theo
ich betreibe einen SG-500-52 als Core Switch. Er Routet auch zwischen den verschiedenen VLAN's.
Nun ist es so, dass wenn man die Gatewayadresse des jeweiligen VLAN's eingibt zwangsläufig auf die Login Seite des Management Interfaces kommt.
Ich könnte natürlich einfach den HTTP/HTTPS Zugriff komplett abschalten aber das wäre dann die Brachial-Methode.
Hat jemand eine Idee wie man das unterbinden kann?
Leider gibt es (oder ich habe sie nicht gefunden) keine Möglichkeit das Management Interface an einen Port zu binden. Zumindest nicht im L3 Betrieb..
ACL's bringen natürlich auch nichts, da diese ja erst im Routing greifen.
Danke schon mal für Ideen.
lg
Theo
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 269910
Url: https://administrator.de/contentid/269910
Printed on: April 19, 2024 at 13:04 o'clock
10 Comments
Latest comment
Hi,
na dann einfach das Management Interface in ein eigenes VLAN packen und per ACL absichern.
VG
Val
na dann einfach das Management Interface in ein eigenes VLAN packen und per ACL absichern.
VG
Val
Hi Valexus,
Das geht nicht, da es ja kein Management Interface in dem Sinne gibt. Das Management Interface des Switches ist in JEDEM Vlan unter der Gatewayadresse zu erreichen....leider...
lg
Theo
Das geht nicht, da es ja kein Management Interface in dem Sinne gibt. Das Management Interface des Switches ist in JEDEM Vlan unter der Gatewayadresse zu erreichen....leider...
lg
Theo
Achso das meinst du...
Kannst du aber auch mit ACLs absichern welche Port 80 sowie 443 verbieten.
VG
Val
Kannst du aber auch mit ACLs absichern welche Port 80 sowie 443 verbieten.
VG
Val
geht auch nicht weil die ACL'S erst beim Routing greifen.
Das ging früher mal, als die ACL quasi auch am Port gewirkt haben. Selbst wenn ich in die ACL Deny Any schreibe komme ich im gleichen VLAN noch aufs Interface.
lg
Theo
Das ging früher mal, als die ACL quasi auch am Port gewirkt haben. Selbst wenn ich in die ACL Deny Any schreibe komme ich im gleichen VLAN noch aufs Interface.
lg
Theo
Ja natürlich. Wenn deine Clients den Switch als Gateway haben funktioniert das problemlos.
Hab mal fix bei mir im Büro was getestet:
Tut genau das was es soll. Vergiss aber das ACL Binding auf das VLAN nicht, bei mir im Test mit "Permit All" wird nur TCP/80 und TCP/443 geblockt.
VG
Val
Hab mal fix bei mir im Büro was getestet:
Tut genau das was es soll. Vergiss aber das ACL Binding auf das VLAN nicht, bei mir im Test mit "Permit All" wird nur TCP/80 und TCP/443 geblockt.
VG
Val
Versteh ich nicht...habe das auf dem SG-500 exakt so eingestellt. Wie gesagt sogar mit Deny Any kommen die Clients natürlich nirgendwo mehr hin. Außer an die Gatewayadresse des Switches in Ihrem VLAN.
Vielleicht ein Bug bei dem Sg500-52. Ich werd das mal mit dem Support besprechen.
Danke dir trotzdem.
lg
Theo
Vielleicht ein Bug bei dem Sg500-52. Ich werd das mal mit dem Support besprechen.
Danke dir trotzdem.
lg
Theo
Mhh glaub ich irgendwie nicht dran. Hast du die aktuelle Firmware (1.4.0.88) und Bootcode (1.4.0.02) Versionen?
jupp beides aktuell
Sonst Poste doch mal ein "show running-config" dann können wir nochmal genau schauen.
VG
Val
VG
Val
Das werde ich eher nicht tun aber danke ;)
