码迷,mamicode.com
首页 > 其他好文 > 详细

vlan配置部分

时间:2017-03-04 22:49:21      阅读:168      评论:0      收藏:0      [点我收藏+]

标签:vlan安全方面

攻击者伪装成trunk模式,能收到所有的vlan信息(模拟DTP帧,发送DTP帧 )
解决方式:将所有端口设定为access
switchport mode access 关闭DTP

处于同一个VLAN的用户要求端口安全,使用端口隔离


私有vlan

应用场合:运营商、IDC
private vlans sub domain分为以下两种
1、primary vlan
2、secondary vlan (isolate不能互访的、community能互访的)之间是不能互访的

端口角色:promiscuous端口(primary vlan )、host端口(secondary vlan)
 
PVlan三层支持、二层也有端口隔离特性

SVI只能primary vlan管理
interface vlan 20
ip address
private-vlan mapping 501,502  其他端口可以管理
ip routing


单隔离组

interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/24

port-group 1
 group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/24

 port link-type access
 port access vlan 100

 port-isolate enable


创建隔离组2
port-isolate group 2   将端口GigabitEthernet4/0/2加入隔离组2
interface GigabitEthernet 4/0/2
 port-isolate enable group 2

interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口
 port-isolate uplink-port group 2

display isolate port 显示隔离端口


vacl一般三层交换机才支持(基于源MAC、源ip识别,动作只有转发、丢弃)
VACL配置
第一步:access 1 permit any any
第二步:vlan access-map cisco
第三步:match ip address 1
action drop
第四步:调用

vlan  filter cisco vlan-list 100



vlan配置部分

标签:vlan安全方面

原文地址:http://maguangjie.blog.51cto.com/11214671/1903232

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!