完全阻止访问思科

完全阻止访问思科

有 Cisco Catalyst 3850(WS-C3850-48T-E),仅通过管理端口进行管理。

交换机上有多个 VLAN。该交换机还可用作 DHCP 服务器。

SNMP 和 SSH 已在安全性方面进行了配置。但是,例如,所有接口上的 SNMPv3 端口均已打开,这使其容易受到 IP 欺骗或 DoS 攻击。

问题是完全阻止对非管理接口上的交换机服务(DHCP 除外)的访问。

如果我理解正确的话,我可以使用扩展 ACL。类似这样的:

允许 udp 任何主机 10.11.12.1 eq 67

允许 udp 任何主机 10.11.13.1 eq 67

拒绝任何主机 10.11.12.1

拒绝任何主机 10.11.13.1

10.11.12.1和10.11.13.1是分配给VLAN中当前交换机的IP。

这是正确的方法吗?它会起作用吗?

答案1

所有思科 ACL 都以隐式“拒绝任何”规则结束。因此,您可以仅配置扩展访问列表以仅允许所需的数据包。

这种方法在阻止访问方面是有效的。

一个很好的方法是不要将 VLAN 1 用于网络中的任何内容,而仅为管理配置单独的 VLAN。

相关内容