8
HP-Aruba Management VLAN
Hallo Zusammen!
Wenn ich auf einem Aruba / HP Switch per "management-vlan 2" VLAN 2 als eben solches definiere, wird von und zu diesem VLAN das Routing unterbunden.
Siehe: https://blog.michaelfmcnamara.com/2016/07/hp-procurve-5400zl-ip-routing- ...
Mein Aruba 5406r hat mehrere VLANs und in jedem VLAN die Adresse 10.0.XX.1. Über diese kann ich den Switch per SSH / Web auch administrieren.
Mein Ansatz ist nun, alle Switche in VLAN 2 zu packen und per ACL den Zugriff nur aus einem bestimmten VLAN zu erlauben.
Nur wie kann ich den Switch (und diverse andere) nun in ein eigenes VLAN packen und den administrativen Zugriff von sämtliche anderen IP's unterbinden?
Gruß
M.
Wenn ich auf einem Aruba / HP Switch per "management-vlan 2" VLAN 2 als eben solches definiere, wird von und zu diesem VLAN das Routing unterbunden.
Siehe: https://blog.michaelfmcnamara.com/2016/07/hp-procurve-5400zl-ip-routing- ...
Mein Aruba 5406r hat mehrere VLANs und in jedem VLAN die Adresse 10.0.XX.1. Über diese kann ich den Switch per SSH / Web auch administrieren.
Mein Ansatz ist nun, alle Switche in VLAN 2 zu packen und per ACL den Zugriff nur aus einem bestimmten VLAN zu erlauben.
Nur wie kann ich den Switch (und diverse andere) nun in ein eigenes VLAN packen und den administrativen Zugriff von sämtliche anderen IP's unterbinden?
Gruß
M.
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 359638
Url: https://administrator.de/contentid/359638
Printed on: April 18, 2024 at 05:04 o'clock
8 Comments
Latest comment
...in dem du ganz einfach an den Telnet und SSH Server diese ACL bindest die nur Zugriff aus dem VLAN 2 zulässt.
Simpler Standard bei L3 Switches das auch die billigen HP Gurken können.
Ein Blick in den "HP Aruba Access Security Guide" !
ftp://ftp.hp.com/pub/networking/software/3500_5400_6200_AccSecGde-July2006-59913828.pdf
Simpler Standard bei L3 Switches das auch die billigen HP Gurken können.
Ein Blick in den "HP Aruba Access Security Guide" !
ftp://ftp.hp.com/pub/networking/software/3500_5400_6200_AccSecGde-July2006-59913828.pdf
Moin,
Bei HP ist es (zumindest mit "alten" Procurve-FW) sogar so, dass wenn man dem Switch ein dediziertes Management-VLAN zugewiesen wurde, man auch nur aus diesem VLAN auf die Switches zugreifen kann. Sprich: Switch ins Management-VLAN2 verschoben, ist brauchst du einen SSH-/ Web-Client ebenfalls im VLAN 2. Alles andere verhindert HP.
Ob das mit der jüngsten Aruba-FW auch so ist, weiss ich aktuell nicht.
Gruß
em-pie
Bei HP ist es (zumindest mit "alten" Procurve-FW) sogar so, dass wenn man dem Switch ein dediziertes Management-VLAN zugewiesen wurde, man auch nur aus diesem VLAN auf die Switches zugreifen kann. Sprich: Switch ins Management-VLAN2 verschoben, ist brauchst du einen SSH-/ Web-Client ebenfalls im VLAN 2. Alles andere verhindert HP.
Ob das mit der jüngsten Aruba-FW auch so ist, weiss ich aktuell nicht.
Gruß
em-pie
Zitat von @em-pie:
Bei HP ist es (zumindest mit "alten" Procurve-FW) sogar so, dass wenn man dem Switch ein dediziertes Management-VLAN zugewiesen wurde, man auch nur aus diesem VLAN auf die Switches zugreifen kann. Sprich: Switch ins Management-VLAN2 verschoben, ist brauchst du einen SSH-/ Web-Client ebenfalls im VLAN 2. Alles andere verhindert HP.
Ob das mit der jüngsten Aruba-FW auch so ist, weiss ich aktuell nicht.
Bei HP ist es (zumindest mit "alten" Procurve-FW) sogar so, dass wenn man dem Switch ein dediziertes Management-VLAN zugewiesen wurde, man auch nur aus diesem VLAN auf die Switches zugreifen kann. Sprich: Switch ins Management-VLAN2 verschoben, ist brauchst du einen SSH-/ Web-Client ebenfalls im VLAN 2. Alles andere verhindert HP.
Ob das mit der jüngsten Aruba-FW auch so ist, weiss ich aktuell nicht.
Hallo!
Genau das ist ja mein Problem. Ich bekomme den Switch nur in ein Management Netzwerk mit diesem Befehl:
configure
management-vlan 2Aruba / HP schottet dieses aber so ab, das kein Routing möglich ist. Ich muss dann zwingend einen Rechner in das VLAN Hängen um Zugriff zu bekommen.
Gibt es keine andere Möglichkeit dem switch ein VLAN X zu zuweisen außer den Switch in VLAN 1 zu belassen?
Dann könnte ich ja mit ACLs arbeiten.
Gruß
M.
Zitat von @mb1811:
Aruba / HP schottet dieses aber so ab, das kein Routing möglich ist. Ich muss dann zwingend einen Rechner in das VLAN Hängen um Zugriff zu > bekommen.
Aruba / HP schottet dieses aber so ab, das kein Routing möglich ist. Ich muss dann zwingend einen Rechner in das VLAN Hängen um Zugriff zu > bekommen.
Ja schon, das ist ja auch der Sinn mit dem Out-Of-Band-Management und wird z.B. bei Alcatel-Lucent genau gleich gehandhabt.
Ansonsten macht der dedizierte Management-Port sicherheitstechnisch auch gar keinen Sinn, wenn der ins Routing mit eingeschlossen wird.
Wenn du mit Routing und ACLs arbeiten willst/musst, dann leg doch einfach irgendein fiktives Management-VLAN an, gib diesem einem IP-Adresse und schränk den Zugriff via ACL ein.
Das Management-VLAN muss dann nur auf dem Uplink getagged sein und nicht an irgendeinem speziellen Port anliegen, um darauf zugreifen zu können.
Moin,
dann setze dir doch einfach irgendwo einen Raspberry Pi hin, der mit einem Bein im VLAN2 hängt und mit einem weiteren Bein im IT-VLAN.
das IT-VLAN wird dann idealerweise passende ACLs haben, so dass du dich nur von deinem IT-Device gegen den Pi (SSH/ VNC/ o.Ä.) verbinden kannst und von dort dann die config der Switche vornimmst.
Als Backup nen weiteren Pi einbinden/ vorhalten, gelegentlich ein Backup des Pis machen und der Drops ist gelutscht
dann setze dir doch einfach irgendwo einen Raspberry Pi hin, der mit einem Bein im VLAN2 hängt und mit einem weiteren Bein im IT-VLAN.
das IT-VLAN wird dann idealerweise passende ACLs haben, so dass du dich nur von deinem IT-Device gegen den Pi (SSH/ VNC/ o.Ä.) verbinden kannst und von dort dann die config der Switche vornimmst.
Als Backup nen weiteren Pi einbinden/ vorhalten, gelegentlich ein Backup des Pis machen und der Drops ist gelutscht
Danke für die Antworten.
Entweder habe ich gerade einen dicken Knoten im Kopf oder kann mein Problem nicht richtig schildern
Wir reden nicht über OOBM.
Da ich mich hier auf einem Layer-3 Switch befinde, hat der Switch in jedem VLAN weitere Adressen:
Ich kann so von jedem Rechner in diesem Netz per SSH oder Web den Switch erreichen.
Lege ich nun eine Authorized Manager IP an, komme ich nur von der IP auf den Switch.
Das funktioniert. Löst aber das eigentliche Problem nicht.
Eine wirkliche Isolierung in einem VLAN habe ich so nicht, da der Switch ja in jedem VLAN mit einer IP vertreten ist.
Oder ist mein Vorhaben so nicht realisierbar?
Gruß
M.
Entweder habe ich gerade einen dicken Knoten im Kopf oder kann mein Problem nicht richtig schildern
Wir reden nicht über OOBM.
configure
vlan 10
name managing
ip address 10.0.10.1
endDa ich mich hier auf einem Layer-3 Switch befinde, hat der Switch in jedem VLAN weitere Adressen:
VLAN 30: 10.0.30.1
VLAN 50: 10.0.50.1
etc..Ich kann so von jedem Rechner in diesem Netz per SSH oder Web den Switch erreichen.
Lege ich nun eine Authorized Manager IP an, komme ich nur von der IP auf den Switch.
Das funktioniert. Löst aber das eigentliche Problem nicht.
Eine wirkliche Isolierung in einem VLAN habe ich so nicht, da der Switch ja in jedem VLAN mit einer IP vertreten ist.
Oder ist mein Vorhaben so nicht realisierbar?
Gruß
M.
Hast du mal versucht, gemäß der HPE-Anleitung das (über die GUI) einzustellen:
http://h17007.www1.hpe.com/device_help/HPJ8697A/SHelp.htm#Security/IPAu ...
Statt eine dedizierte IP anzugeben, gibst du einfach ein ganzes Netz an:
Kommt der Administrator aus einem anderen Netz, erhält er keinen Zugriff auf den Switch.
DU trägst also ein:
IP: 10.0.10.0
Mask: 255.255.255.0
Method: (All (oder die relevanten)
Access Level: Operator/ Manager)
http://h17007.www1.hpe.com/device_help/HPJ8697A/SHelp.htm#Security/IPAu ...
Statt eine dedizierte IP anzugeben, gibst du einfach ein ganzes Netz an:
Kommt der Administrator aus einem anderen Netz, erhält er keinen Zugriff auf den Switch.
DU trägst also ein:
IP: 10.0.10.0
Mask: 255.255.255.0
Method: (All (oder die relevanten)
Access Level: Operator/ Manager)
Ich glaube mein Denkfehler hängt mit dem Layer 3 Switch zusammen:
Hier habe ich viele VLANS und zwangsweise auch in jedem VLAN eine IP (zwecks Routing).
Sprich: auf diesem Switch muss ich mit mit den IP Authorizing Manager Einstellungen arbeiten.
Gleichzeitig lege ich hier aber eine ACL an, dass nur Rechner aus dem IT VLAN in das Management Netzwerk dürfen.
Alle anderen Switche bekommen KEINE IP im Default VLAN, sondern nur eine im Management VLAN.
Somit habe ich meine Switche Isoliert und kann nur von bestimmten IP's drauf zugreifen.
Danke für Eure Gedult!
M.
Hier habe ich viele VLANS und zwangsweise auch in jedem VLAN eine IP (zwecks Routing).
Sprich: auf diesem Switch muss ich mit mit den IP Authorizing Manager Einstellungen arbeiten.
Gleichzeitig lege ich hier aber eine ACL an, dass nur Rechner aus dem IT VLAN in das Management Netzwerk dürfen.
Alle anderen Switche bekommen KEINE IP im Default VLAN, sondern nur eine im Management VLAN.
Somit habe ich meine Switche Isoliert und kann nur von bestimmten IP's drauf zugreifen.
Danke für Eure Gedult!
M.
