Здравствуйте.
Имеется Cisco Catalyst 3850 (WS-C3850-48T-E), управление им происходит только через менеджмент порт.На самом свиче поднято несколько VLANов, также свитч выступает в роли DHCP сервера.
SNMP, SSH уже настроены должным образом в плане безопасности, но к примеру порт SNMPv3 открыт на на всех интерфейсах что делает его подверженным к примеру подмене IP либо DoS.
Стоит задача в том чтобы полностью закрыть доступ к сервисам свича (за исключением DHCP) на не менеджмент интерфейсе.
Я так понимаю подобное можно организовать при помощи Extended ACL
к примеру
permit udp any host 10.11.12.1 eq 67
permit udp any host 10.11.13.1 eq 67
deny ip any host 10.11.12.1
deny ip any host 10.11.13.1
где 10.11.12.1 и 10.11.13.1 - IP назначенные свичу во VLAN.
Насколько подобное корректно и будет ли работать?