The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Полное ограничение доступа к Cisco, !*! Eretik, 27-Авг-14, 21:17  [смотреть все]
Здравствуйте.
Имеется Cisco Catalyst 3850 (WS-C3850-48T-E), управление им происходит только через менеджмент порт.

На самом свиче поднято несколько VLANов, также свитч выступает в роли DHCP сервера.

SNMP, SSH уже настроены должным образом в плане безопасности, но к примеру порт SNMPv3 открыт на на всех интерфейсах что делает его подверженным к примеру подмене IP либо DoS.

Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за исключением DHCP) на не менеджмент интерфейсе.

Я так понимаю подобное можно организовать при помощи Extended ACL
к примеру
permit udp any host 10.11.12.1 eq 67
permit udp any host 10.11.13.1 eq 67
deny ip any host 10.11.12.1
deny ip any host 10.11.13.1

где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.

Насколько подобное корректно и будет ли работать?

Ответить | Сообщить модератору
  • Полное ограничение доступа к Cisco, !*! infery, 21:55 , 27-Авг-14 (1)
    >[оверквотинг удален]
    > Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за
    > исключением DHCP) на не менеджмент интерфейсе.
    > Я так понимаю подобное можно организовать при помощи Extended ACL
    > к примеру
    > permit udp any host 10.11.12.1 eq 67
    > permit udp any host 10.11.13.1 eq 67
    > deny ip any host 10.11.12.1
    > deny ip any host 10.11.13.1
    > где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
    > Насколько подобное корректно и будет ли работать?

    Как вариант, можно посмотреть в сторону vlan filter vlan-list. Разрешить только нужный трафик, остальное сделает implicit deny

    Ответить | Сообщить модератору
  • Полное ограничение доступа к Cisco, !*! Andrey, 23:12 , 27-Авг-14 (2)
    >[оверквотинг удален]
    > Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за
    > исключением DHCP) на не менеджмент интерфейсе.
    > Я так понимаю подобное можно организовать при помощи Extended ACL
    > к примеру
    > permit udp any host 10.11.12.1 eq 67
    > permit udp any host 10.11.13.1 eq 67
    > deny ip any host 10.11.12.1
    > deny ip any host 10.11.13.1
    > где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
    > Насколько подобное корректно и будет ли работать?

    Будет.
    Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control Plane Protection и Management Plane Protection.
    В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами, во втором и третьем только то, что будет адресовано в сторону Control Plane.

    Ответить | Сообщить модератору
    • Полное ограничение доступа к Cisco, !*! Eretik, 02:24 , 28-Авг-14 (3)
      > Будет.
      > Только лучше вешать не ACL на VLAN интерфейсы, а воспользоваться технологией Control
      > Plane Protection и Management Plane Protection.
      > В первом варианте у вас будет анализироваться весь трафик между VLAN интерфейсами,
      > во втором и третьем только то, что будет адресовано в сторону
      > Control Plane.

      Спасибо за подсказку.
      Боюсь что Control Plane Protection и Management Plane Protection не поддерживаются на 3850.
      Нашел только Control Plane Policing (CPP), что в принципе решает проблему с DoS направленным на свитч без использования ACL.

      Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру