NETGEAR is aware of a growing number of phone and online scams. To learn how to stay safe click here.

Forum Discussion

Gu1's avatar
Gu1
Aspirant
Feb 01, 2018

Managment Port M4300

Wir haben ein M4300-Stack als CORE-Router im Betrieb.

Der Router fungiert als Default-Gateway für verschiedene VLANs und Netzwerke, unter anderem für das VLAN1.
Wir wollen aber, daß der Router aus all diesen gerouteten Netzwerken _nicht_ erreichbar ist, sondern _nur_ über den OOB Serviceport (separate Netzwerkbuchse)

So haben wir also den Serviceport mit einer IP versehen konfiguriert und dem management interface zugewiesen

>show running-config
serviceport protocol none
serviceport ip 10.0.0.10 255.255.255.0 10.0.0.1
...
interface vlan 1
ip address 192.168.1.1 255.255.255.0
...
ip management vlan 1 192.168.1.1 255.255.255.0
ip management source-interface serviceport

Dummerweise ist nun aber das VLAN1 ebenfalls im Management vorhanden.
Wenn ich nun das Management zurücksetzte (mit "no ip management"), wird automatisch VLAN1 auf DHCP gestellt.

Wie bekommen wir es hin, daß der Switch für VLAN1 seine Adresse behält, aber gleichzeitig das Management Interface nur über den Serviceport ereichbar ist?

Oder haben wir hier einen Denkfehler?

Besten Dank und Gruß

Günther


Lösungen

3 Replies

  • Slas's avatar
    Slas
    NETGEAR Employee Retired
    Feb 02, 2018

    Hallo Gu1,

     

    und willkommen in der NETGEAR Community.

     

    Servisport dient als Zugriffspunkt, wenn keine anderen Optionen zum Ändern der Konfiguration verfügbar sind

    Wenn Du den Zugriff auf die Switch Verwaltung beschränken möchtest, dann könntest Du einen "Access Profie" erstellen und Regeln anwenden.

    Gehe unter Security -- Access -- Access Control, um einen Access Profile und Access Rules zu erstellen.

     

    Grüße
    Slas
    NETGEAR Community Team

    • Gu1's avatar
      Gu1
      Aspirant
      Feb 03, 2018

      Danke Slas.

      Die Profile könnten durchaus eine Lösung sein, passen aber bei uns doch nicht so richtig.

      Dort kann ich nämlich nur Quell-IP's eingeben, von denen ein Management auf bestimmte Dienste erlaubt sein soll.

      Wir loggen uns aber (mit verschiedensten Quell-IPs) über ein Security Gateway (Firewall) ein und haben dann ein Routing in das Management (V)LAN. Das einzige was ich eigentlich möchte, ist daß das Management Netzwerk _nur_ über das OOB Interface erreichbar ist.

      Das ist ja der eigentlich Sinn eines OOB Interface.

      Ich verstehe ja, daß defaultmäßig VLAN1 auf das Management Interface geroutet wird, aber kann man das tatsächlich nicht abschalten?

       

      Frägt dankend

       

      Günther

       

    • Slas's avatar
      Slas
      NETGEAR Employee Retired
      Feb 05, 2018

      Hallo @Gu1,

       

      Ja, das VLAN 1 is Default Management und von allen VLANs erreichbar wenn das Routing aktiviert ist.

      Deswegen habe ich den Access Profile vorgeschlagen.

      Du, könntest Dich noch weiter bei dem Support erkundigen.

       

      Grüße
      Slas
      NETGEAR Community Team

NETGEAR Academy

Steigern Sie Ihre Fähigkeiten mit der Netgear Academy - Lassen Sie sich schulen, zertifizieren und bleiben Sie mit der neuesten Netgear-Technologie auf dem neuesten Stand!

Machen Sie mit!

ProSupport for Business

Umfassende Supportpläne für maximale Netzwerkverfügbarkeit und geschäftliche Sicherheit

Mehr erfahren