完全阻止對思科的訪問

Cisco Catalyst 3850 (WS-C3850-48T-E) 僅通過管理埠進行管理。

交換機上有幾個 VLAN。交換機也可用作 DHCP 伺服器。

SNMP 和 SSH 已經在安全方面進行了配置。但是，例如，該埠在所有介面上都為 SNMPv3 開放，這使得它容易受到 IP 欺騙或 DoS 的攻擊。

問題是完全阻止對非管理介面上的交換機服務（DHCP 除外）的訪問。

如果我理解正確，我可以使用擴展 ACL。像這樣的東西：

允許 udp 任何主機 10.11.12.1 eq 67

允許 udp 任何主機 10.11.13.1 eq 67

拒絕 ip 任何主機 10.11.12.1

拒絕 ip 任何主機 10.11.13.1

10.11.12.1 和 10.11.13.1 是分配給 VLAN 中目前交換機的 IP。

這是正確的方法嗎？它會起作用嗎？

所有 cisco ACL 都以隱含的“拒絕任何任何”規則結束。因此，您可以僅配置訪問列表擴展以僅允許所需的數據包。

這種方法將在阻止訪問方面起作用。

不將 VLAN 1 用於網路中的任何內容並配置單獨的 VLAN 僅用於管理也是一個好方法。

引用自：https://serverfault.com/questions/624519