Security
完全阻止對思科的訪問
Cisco Catalyst 3850 (WS-C3850-48T-E) 僅通過管理埠進行管理。
交換機上有幾個 VLAN。交換機也可用作 DHCP 伺服器。
SNMP 和 SSH 已經在安全方面進行了配置。但是,例如,該埠在所有介面上都為 SNMPv3 開放,這使得它容易受到 IP 欺騙或 DoS 的攻擊。
問題是完全阻止對非管理介面上的交換機服務(DHCP 除外)的訪問。
如果我理解正確,我可以使用擴展 ACL。像這樣的東西:
允許 udp 任何主機 10.11.12.1 eq 67
允許 udp 任何主機 10.11.13.1 eq 67
拒絕 ip 任何主機 10.11.12.1
拒絕 ip 任何主機 10.11.13.1
10.11.12.1 和 10.11.13.1 是分配給 VLAN 中目前交換機的 IP。
這是正確的方法嗎?它會起作用嗎?
所有 cisco ACL 都以隱含的“拒絕任何任何”規則結束。因此,您可以僅配置訪問列表擴展以僅允許所需的數據包。
這種方法將在阻止訪問方面起作用。
不將 VLAN 1 用於網路中的任何內容並配置單獨的 VLAN 僅用於管理也是一個好方法。