Да, управление в отдельном влане, а вот ACL нет.

Попробуйте запретить маршрутизацию из клиентских подсетей в управляющую при помощи ACL.

А чем отличается управляющий интерфейс от всех остальных?
Только на нем коммутатор слушает ssh, telnet, http, snmp и все остальное?

Попробую как-нибудь, потому как сейчас используется другой роутер.\

еще, честно говоря, очень хочется услышать разъяснения по поводу перепрошивки свитча, обсуждаемые чуть ниже.

Это наиболее уязвимый к атакам интерфейс. А по поводу перепрошики мы рекомендуем сбрасывать устройство к умолчальным настройкам при смене релиза и перепрошивке через один или несколько релизов. Если этого не сделать то в некоторых случаях возможны проблемы.

Именно с помощью acl? Я делал запрет ospf таким образом с помощью cpu acl разрешив ospf только в системном вилане, для всего остального я запретил протокол ospf, только после этого я увидел что ospf действительно не проходит с других адресов и виланов. Или я что то делал не так?

Я имел вииду клиентского трафика. Ведь непосредственно подключённые сети у Вас будут маршрутизироваться в пределах одного свитча.

Прочитал всю тему несколько раз и не понял что дает сброс и насколько страшно его не делать. Сегодня обновил DGS-3627G с 2.80.B35 до 3.00.B38 - в конфиг автоматом добавились новые функции, старые настройки вроде сохранились. Если бы я сбросил настройки и залил старый конфиг, то по концовке конфиги отличались бы? У нас таких коробок почти 70 штук по всему городу и вы рекомендуете каждый раз при обновлении софта ездить к ним сбрасывать конфиг?

думаю, save + reboot на новой прошивке вполне достаточно - конфиг сохранится с "актуальным" набором команд

_________________
Это текст, который можно добавлять к размещаемым вами сообщениям. Длина его ограничена 255 символами.