Security

完全阻止對思科的訪問

  • August 27, 2014

Cisco Catalyst 3850 (WS-C3850-48T-E) 僅通過管理埠進行管理。

交換機上有幾個 VLAN。交換機也可用作 DHCP 伺服器。

SNMP 和 SSH 已經在安全方面進行了配置。但是,例如,該埠在所有介面上都為 SNMPv3 開放,這使得它容易受到 IP 欺騙或 DoS 的攻擊。

問題是完全阻止對非管理介面上的交換機服務(DHCP 除外)的訪問。

如果我理解正確,我可以使用擴展 ACL。像這樣的東西:

允許 udp 任何主機 10.11.12.1 eq 67

允許 udp 任何主機 10.11.13.1 eq 67

拒絕 ip 任何主機 10.11.12.1

拒絕 ip 任何主機 10.11.13.1

10.11.12.1 和 10.11.13.1 是分配給 VLAN 中目前交換機的 IP。

這是正確的方法嗎?它會起作用嗎?

所有 cisco ACL 都以隱含的“拒絕任何任何”規則結束。因此,您可以僅配置訪問列表擴展以僅允許所需的數據包。

這種方法將在阻止訪問方面起作用。

不將 VLAN 1 用於網路中的任何內容並配置單獨的 VLAN 僅用於管理也是一個好方法。

引用自:https://serverfault.com/questions/624519