https://slinkov.ru/openforum/vsluhforumID6/1460.html Здравствуйте.<br>Имеется Cisco Catalyst 3850 (WS-C3850-48T-E), управление им происходит только через менеджмент порт.<br><br>На самом свиче поднято несколько VLANов, также свитч выступает в роли DHCP сервера.<br><br>SNMP, SSH уже настроены должным образом в плане безопасности, но к примеру порт SNMPv3 открыт на на всех интерфейсах что делает его подверженным к примеру подмене IP либо DoS.<br><br>Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за исключением DHCP) на не менеджмент интерфейсе.<br><br>Я так понимаю подобное можно организовать при помощи Extended ACL <br>к примеру <br>permit udp any host 10.11.12.1 eq 67<br>permit udp any host 10.11.13.1 eq 67<br>deny ip any host 10.11.12.1 <br>deny ip any host 10.11.13.1 <br><br>где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.<br><br>Насколько подобное корректно и будет ли работать?<br> https://slinkov.ru/openforum/vsluhforumID6/1460.html#3 Wed, 27 Aug 2014 22:24:33 GMT &gt; Будет.<br>&gt; Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control <br>&gt; Plane Protection и Management Plane Protection.<br>&gt; В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, <br>&gt; во втором и третьем только то, что будет адресовано в сторону <br>&gt; Control Plane.<br><br>Спасибо за подсказку.<br>Боюсь что Control Plane Protection и Management Plane Protection не поддерживаются на 3850.<br>Нашел только Control Plane Policing (CPP), что в принципе решает проблему с DoS направленным на свитч без использования ACL.<br> https://slinkov.ru/openforum/vsluhforumID6/1460.html#2 Wed, 27 Aug 2014 19:12:39 GMT &gt;[оверквотинг удален]<br>&gt; Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за <br>&gt; исключением DHCP) на не менеджмент интерфейсе.<br>&gt; Я так понимаю подобное можно организовать при помощи Extended ACL <br>&gt; к примеру <br>&gt; permit udp any host 10.11.12.1 eq 67 <br>&gt; permit udp any host 10.11.13.1 eq 67 <br>&gt; deny ip any host 10.11.12.1 <br>&gt; deny ip any host 10.11.13.1 <br>&gt; где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.<br>&gt; Насколько подобное корректно и будет ли работать?<br><br>Будет. <br>Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control Plane Protection и Management Plane Protection.<br>В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, во втором и третьем только то, что будет адресовано в сторону Control Plane.<br> https://slinkov.ru/openforum/vsluhforumID6/1460.html#1 Wed, 27 Aug 2014 17:55:36 GMT &gt;[оверквотинг удален]<br>&gt; Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за <br>&gt; исключением DHCP) на не менеджмент интерфейсе.<br>&gt; Я так понимаю подобное можно организовать при помощи Extended ACL <br>&gt; к примеру <br>&gt; permit udp any host 10.11.12.1 eq 67 <br>&gt; permit udp any host 10.11.13.1 eq 67 <br>&gt; deny ip any host 10.11.12.1 <br>&gt; deny ip any host 10.11.13.1 <br>&gt; где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.<br>&gt; Насколько подобное корректно и будет ли работать?<br><br>Как вариант, можно посмотреть в сторону vlan filter vlan-list. Разрешить только нужный трафик, остальное сделает implicit deny <br>