10
Sg-500 Switch L3 Routing, Zugriff auf Management Interface unterbinden
Hallo zusammen,
ich betreibe einen SG-500-52 als Core Switch. Er Routet auch zwischen den verschiedenen VLAN's.
Nun ist es so, dass wenn man die Gatewayadresse des jeweiligen VLAN's eingibt zwangsläufig auf die Login Seite des Management Interfaces kommt.
Ich könnte natürlich einfach den HTTP/HTTPS Zugriff komplett abschalten aber das wäre dann die Brachial-Methode.
Hat jemand eine Idee wie man das unterbinden kann?
Leider gibt es (oder ich habe sie nicht gefunden) keine Möglichkeit das Management Interface an einen Port zu binden. Zumindest nicht im L3 Betrieb..
ACL's bringen natürlich auch nichts, da diese ja erst im Routing greifen.
Danke schon mal für Ideen.
lg
Theo
ich betreibe einen SG-500-52 als Core Switch. Er Routet auch zwischen den verschiedenen VLAN's.
Nun ist es so, dass wenn man die Gatewayadresse des jeweiligen VLAN's eingibt zwangsläufig auf die Login Seite des Management Interfaces kommt.
Ich könnte natürlich einfach den HTTP/HTTPS Zugriff komplett abschalten aber das wäre dann die Brachial-Methode.
Hat jemand eine Idee wie man das unterbinden kann?
Leider gibt es (oder ich habe sie nicht gefunden) keine Möglichkeit das Management Interface an einen Port zu binden. Zumindest nicht im L3 Betrieb..
ACL's bringen natürlich auch nichts, da diese ja erst im Routing greifen.
Danke schon mal für Ideen.
lg
Theo
Auf Facebook teilen
Auf X (Twitter) teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 269910
Url: https://administrator.de/forum/sg-500-switch-l3-routing-zugriff-auf-management-interface-unterbinden-269910.html
Ausgedruckt am: 03.04.2025 um 05:04 Uhr
10 Kommentare
Neuester Kommentar
Hi,
na dann einfach das Management Interface in ein eigenes VLAN packen und per ACL absichern.
VG
Val
na dann einfach das Management Interface in ein eigenes VLAN packen und per ACL absichern.
VG
Val
Hi Valexus,
Das geht nicht, da es ja kein Management Interface in dem Sinne gibt. Das Management Interface des Switches ist in JEDEM Vlan unter der Gatewayadresse zu erreichen....leider...
lg
Theo
Das geht nicht, da es ja kein Management Interface in dem Sinne gibt. Das Management Interface des Switches ist in JEDEM Vlan unter der Gatewayadresse zu erreichen....leider...
lg
Theo
Achso das meinst du...
Kannst du aber auch mit ACLs absichern welche Port 80 sowie 443 verbieten.
VG
Val
Kannst du aber auch mit ACLs absichern welche Port 80 sowie 443 verbieten.
VG
Val
geht auch nicht weil die ACL'S erst beim Routing greifen.
Das ging früher mal, als die ACL quasi auch am Port gewirkt haben. Selbst wenn ich in die ACL Deny Any schreibe komme ich im gleichen VLAN noch aufs Interface.
lg
Theo
Das ging früher mal, als die ACL quasi auch am Port gewirkt haben. Selbst wenn ich in die ACL Deny Any schreibe komme ich im gleichen VLAN noch aufs Interface.
lg
Theo
Ja natürlich. Wenn deine Clients den Switch als Gateway haben funktioniert das problemlos.
Hab mal fix bei mir im Büro was getestet:
Tut genau das was es soll. Vergiss aber das ACL Binding auf das VLAN nicht, bei mir im Test mit "Permit All" wird nur TCP/80 und TCP/443 geblockt.
VG
Val
Hab mal fix bei mir im Büro was getestet:
Tut genau das was es soll. Vergiss aber das ACL Binding auf das VLAN nicht, bei mir im Test mit "Permit All" wird nur TCP/80 und TCP/443 geblockt.
VG
Val
Versteh ich nicht...habe das auf dem SG-500 exakt so eingestellt. Wie gesagt sogar mit Deny Any kommen die Clients natürlich nirgendwo mehr hin. Außer an die Gatewayadresse des Switches in Ihrem VLAN.
Vielleicht ein Bug bei dem Sg500-52. Ich werd das mal mit dem Support besprechen.
Danke dir trotzdem.
lg
Theo
Vielleicht ein Bug bei dem Sg500-52. Ich werd das mal mit dem Support besprechen.
Danke dir trotzdem.
lg
Theo
Mhh glaub ich irgendwie nicht dran. Hast du die aktuelle Firmware (1.4.0.88) und Bootcode (1.4.0.02) Versionen?
jupp beides aktuell
Sonst Poste doch mal ein "show running-config" dann können wir nochmal genau schauen.
VG
Val
VG
Val
Das werde ich eher nicht tun aber danke ;)
