有 Cisco Catalyst 3850(WS-C3850-48T-E),仅通过管理端口进行管理。
交换机上有多个 VLAN。该交换机还可用作 DHCP 服务器。
SNMP 和 SSH 已在安全性方面进行了配置。但是,例如,所有接口上的 SNMPv3 端口均已打开,这使其容易受到 IP 欺骗或 DoS 攻击。
问题是完全阻止对非管理接口上的交换机服务(DHCP 除外)的访问。
如果我理解正确的话,我可以使用扩展 ACL。类似这样的:
允许 udp 任何主机 10.11.12.1 eq 67
允许 udp 任何主机 10.11.13.1 eq 67
拒绝任何主机 10.11.12.1
拒绝任何主机 10.11.13.1
10.11.12.1和10.11.13.1是分配给VLAN中当前交换机的IP。
这是正确的方法吗?它会起作用吗?
答案1
所有思科 ACL 都以隐式“拒绝任何”规则结束。因此,您可以仅配置扩展访问列表以仅允许所需的数据包。
这种方法在阻止访问方面是有效的。
一个很好的方法是不要将 VLAN 1 用于网络中的任何内容,而仅为管理配置单独的 VLAN。