Есть Cisco Catalyst 3850 (WS-C3850-48T-E), управление которым осуществляется только через порт управления.
На коммутаторе есть несколько VLAN. Также коммутатор работает как DHCP-сервер.
SNMP и SSH уже настроены с точки зрения безопасности. Но, например, порт открыт для SNMPv3 на всех интерфейсах, что делает его уязвимым для IP-спуфинга или DoS.
Проблема состоит в том, чтобы полностью заблокировать доступ к службам коммутатора (кроме DHCP) на интерфейсе, не связанном с управлением.
Если я правильно понимаю, могу использовать расширенный ACL. Что-то такое:
разрешить UDP любой хост 10.11.12.1 экв 67
разрешить udp любой хост 10.11.13.1 экв 67
запретить ip любой хост 10.11.12.1
запретить ip любой хост 10.11.13.1
10.11.12.1 и 10.11.13.1 - это IP-адреса, назначенные текущему коммутатору в VLAN.
Это правильный подход? Это будет работать?
Все списки управления доступом cisco заканчиваются неявным правилом «запретить любое». Таким образом, вы можете настроить только расширенный список доступа, чтобы разрешать только необходимые пакеты.
Такой подход будет работать с точки зрения блокировки доступа.
Также неплохо не использовать VLAN 1 для чего-либо в вашей сети и настроить отдельную VLAN только для управления.