URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1460
[ Назад ]

Исходное сообщение
"Полное ограничение доступа к Cisco"
Отправлено Eretik , 27-Авг-14 21:17

Здравствуйте.
Имеется Cisco Catalyst 3850 (WS-C3850-48T-E), управление им происходит только через менеджмент порт.
На самом свиче поднято несколько VLANов, также свитч выступает в роли DHCP сервера.
SNMP, SSH уже настроены должным образом в плане безопасности, но к примеру порт SNMPv3 открыт на на всех интерфейсах что делает его подверженным к примеру подмене IP либо DoS.
Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за исключением DHCP) на не менеджмент интерфейсе.
Я так понимаю подобное можно организовать при помощи Extended ACL
к примеру
permit udp any host 10.11.12.1 eq 67
permit udp any host 10.11.13.1 eq 67
deny ip any host 10.11.12.1
deny ip any host 10.11.13.1
где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
Насколько подобное корректно и будет ли работать?

Содержание

Полное ограничение доступа к Cisco,infery, 21:55 , 27-Авг-14
Полное ограничение доступа к Cisco,Andrey, 23:12 , 27-Авг-14
- Полное ограничение доступа к Cisco,Eretik, 02:24 , 28-Авг-14

Сообщения в этом обсуждении

"Полное ограничение доступа к Cisco"
Отправлено infery , 27-Авг-14 21:55

>[оверквотинг удален]
> Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за
> исключением DHCP) на не менеджмент интерфейсе.
> Я так понимаю подобное можно организовать при помощи Extended ACL
> к примеру
> permit udp any host 10.11.12.1 eq 67
> permit udp any host 10.11.13.1 eq 67
> deny ip any host 10.11.12.1
> deny ip any host 10.11.13.1
> где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
> Насколько подобное корректно и будет ли работать?
Как вариант, можно посмотреть в сторону vlan filter vlan-list. Разрешить только нужный трафик, остальное сделает implicit deny

"Полное ограничение доступа к Cisco"
Отправлено Andrey , 27-Авг-14 23:12

>[оверквотинг удален]
> Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за
> исключением DHCP) на не менеджмент интерфейсе.
> Я так понимаю подобное можно организовать при помощи Extended ACL
> к примеру
> permit udp any host 10.11.12.1 eq 67
> permit udp any host 10.11.13.1 eq 67
> deny ip any host 10.11.12.1
> deny ip any host 10.11.13.1
> где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
> Насколько подобное корректно и будет ли работать?
Будет.
Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control Plane Protection и Management Plane Protection.
В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, во втором и третьем только то, что будет адресовано в сторону Control Plane.

"Полное ограничение доступа к Cisco"
Отправлено Eretik , 28-Авг-14 02:24

> Будет.
> Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control
> Plane Protection и Management Plane Protection.
> В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами,
> во втором и третьем только то, что будет адресовано в сторону
> Control Plane.
Спасибо за подсказку.
Боюсь что Control Plane Protection и Management Plane Protection не поддерживаются на 3850.
Нашел только Control Plane Policing (CPP), что в принципе решает проблему с DoS направленным на свитч без использования ACL.