Простая вроде бы задача. Необходимо установить коммутатор L2 или L3 (точнее 3026 или 3828) на удаленную точку.

К коммутатору будут прицепляться клиенты определенных подсетей.

Между центром управления и точкой одно оптическое волокно. Выделять отдельное волокно для управляющего vlan слишком расточительно.

Как правильно настраивать коммутатор, чтобы сохранить удаленное управление, обеспечить достаточную безопасность управляющего vlan и обеспечить клиентам нормальную работу в сети.

Я конечно догадываюсь что надо ставить CPU Interface Filtering, ACL, Traffic Segmentation, привязки по IP + MAC, Trusted host и нестандартные порты управления, создание подсети коммутаторов и установка в голове сети фильтрующего коммутатора L3 (он же маршрутизатор) и набора правил на нем, ограничивающих доступ к сети управления, но кто чем пользуется на практике и какой способ ограничения доступа к порту и адресу управления на ваш взгляд лучший и достаточный для комфортного управления и высокой безопасности?

Интересуют возможные реально существующие практические решения.

Заранее спасибо за ответы.

я пользуюсь только отдельным VLAN для управления и ACL на L3 свиче-агрегаторе - попасть в сеть железа просто невозможно ... все что Вы предложили кроме этого лишь все усложняет, а ведь простота - она сестра таланта

_________________
с уважением, БП

snark +1
Тупо: выделенный VLAN + совсем чучуть ACL на узлах + trusted host = непробиваемая защита, даже на стандартных портах управления

Коллеги, а можно привести конкретные примеры такой настройкипример

можно конечно:
допустим, есть 3828, к нему подключены пара 3526 или 3028, каждый на свой порт

есть 4 подсети, допустим:
172.16.100.0/24 - пользователи VLAN 100
172.16.101.0/24 - пользователи VLAN 101
172.16.200.0/24 - сервисный VLAN 200 - зацеплен на 25
172.16.35.0/24 - управляющий VLAN 1 default - зацеплен на 25

Конфиги VLAN на свичах:
3828:

# VLAN
config vlan default delete 1-28
config vlan default add untagged 1-2,25
create vlan 100 tag 100
config vlan 100 add tagged 1
create vlan 101 tag 101
config vlan 101 add tagged 2
create vlan 200 tag 200
config vlan 200 add tagged 25
# IP
config ipif System vlan default ipaddress 172.16.35.1/26 state enable proxy_arp disable
create ipif 100_1 172.16.100.1/24 100 state enable proxy_arp disable
create ipif 101_1 172.16.101.1/24 101 state enable proxy_arp disable
create ipif 200 172.16.200.1/24 200 state enable proxy_arp disable

3526(3028) 100,101 и 200 вланы:
# VLAN
config vlan default delete 1-26
config vlan default add untagged 25
create vlan 100 tag 100
config vlan 100 add tagged 25
config vlan 100 add untagged 1-24
#IP
config ipif System vlan default ipaddress 192.168.35.3/24 state enable

Получаем: весь траф пользователей упирается в ipif 3828, интерфейсы управления 3526(3028) находятся в отдельном влане. На 3828 необходимо будет настроить ACL, чтобы даже по маршрутизации пользователи не пролазили в управляемый влан (можно на destination_ip_mask). +к этому на каждом 3526 и 3828 настроить Trusted Host.

Вроде всё.

PS: мог чучуть ошибиться в коде, у меня такая схема работает на ура.