管理 VLAN 配置

网络工程 思科 VLAN 管理
2021-07-07 08:29:28

你好吗?

刚买了一台 Cisco SF300-24 用于研究交换机配置,我对管理 VLAN 有疑问。

在我的 conf 中,我创建了这个 VLAN:

Vlan       Name                   Ports               Created by    
---- ----------------- --------------------------- ---------------- 
 1           1                                            D         
 10        DATA              fa9-11,fa21-23               S         
 11        VOIP                                           S         
 12      PRINTERS               fa8,fa20                  S         
 13         SAN               fa6-7,fa18-19               S         
 14    PRIVATE_WIFI             fa5,fa17                  S         
 15     PUBLIC_WIFI             fa4,fa16                  S         
 16        HOUSE              fa2-3,fa14-15               S         
 99        MGMT                 fa1,fa13                  S         
999        NULL           fa12,fa24,gi1-4,Po1-8           S

每个 vlan 的 IP 地址遵循以下方案:10.1..201/24。

首先,我消除了 VLAN 1 并创建了一个 999,这是一个黑洞。这是安全改进的好配置吗?

其次,我希望 VLAN 99 成为管理 VLAN,但我仍然可以 ping/telnet/ssh 以及来自任何子网的任何内容。我应该使用什么来阻止其他 VLAN 中的此类流量并仅使用此流量进行管理?

提前谢谢!

2个回答

这是第 3 层交换机的正常行为,可以将管理流量发送到任何活动的交换机虚拟接口 (SVI)。如果您只想允许来自特定 vlan/子网的管理流量,您可以设置 ACL。

可以为第 2 层交换机分配一个管理 IP 地址,该地址附加到一个称为管理 vlan 的 vlan。它只能在此 vlan 内访问。

以SF300为例,如果您想过滤进入交换机的管理流量,我相信您必须定义一个管理ACL而不是一个普通的IP ACL。使用management access-list命令,然后使用 ACL 应用 ACL management access-class

在此交换机上,您可以定义控制谁可以访问管理界面的配置文件。这与大多数基于 IOS 的交换机不同。在管理控制台中,单击

Security > Mgmt Access Method > Profile Rules

并且您可以控制哪些端口、源地址、协议等可以访问管理界面。

其它你可能感兴趣的问题
上一篇网络拓扑建议? 下一篇Nexus 7010 ACL 错误