Учитывая маршрутизатор Allied Telesis с ОС AlliedWare (2.9.1), я хотел бы отключить доступ ко всем службам управления маршрутизатора, за исключением ряда подсетей (или, в качестве альтернативы, иметь так называемую «управляющую VLAN» с коммутатором других производителей и модели роутеров).
Что я пробовал до сих пор:
создание новой VLAN и соответствующего IP-интерфейса, установка ЛОКАЛЬНОГО IP-адреса в эту подсеть, создание IP-фильтра для IP-интерфейса и указание моих подсетей исключения: это просто не работает так, как задумано, поскольку я могу получить доступ к ЛОКАЛЬНОМУ IP-адресу из любого из другие интерфейсы VLAN - трафик, по-видимому, вообще не проходит через определенный мной набор фильтров
создание нового набора IP-фильтров и привязка его к ЛОКАЛЬНОМУ IP-интерфейсу: похоже, это вообще не влияет на какой-либо трафик, счетчики для набора фильтров остаются на нулевом уровне пакетов
установка диапазона IP-адресов на уровне удаленного сотрудника безопасности: это ограничивает только возможность для пользователя с уровнем привилегий сотрудника безопасности входить в систему с любого, кроме указанных диапазонов / подсетей адресов. К сожалению, это не препятствует доступности сервиса (и, следовательно, возможности DoS) или возможности входа в систему как менее привилегированного пользователя (например, «менеджер»).
звонок в техподдержку: к сожалению, решения пока нет
Что не пробовал:
Окончательный ответ инженера службы поддержки L2 из AT заключался в том, что невозможно ограничить управление конкретным интерфейсом, кроме как путем настройки правил фильтрации для всех интерфейсов, на которых управление не должно происходить.