VLAN安全

  建立VACL,使同一个vlan内部的机器不能互访

  R1(config)#vlan access-map map-name[sequence]

  R1(config-access-map)#match ip address {acl-number |acl-name}

  R1(config-access-map)#match ipx address {acl-number |acl-name}

  R1(config-access-map)#match mac address acl-name

  R1(config-access-map)#action {drop | forward | redirect}

  R1(config)#vlan filter map-namevlan-listvlan-list

  私有vlan

  Case 1:ISP用同一个vlan同多个客户网络连接,每个客户需要与该vlan网关中的ISP通信,但客户之间不能通信

  Case2:位于同一个vlan中的所有服务器都可以通过与网关通信,服务器之间不能相互通信,但能通过网关与不在本地网络中的终端通信

  私有vlan(PVLAN)将常规(主)VLAN逻辑关联到单向(辅助)VLAN

  辅助vlan可以同主vlan通信,但不能同其他辅助vlan通信,主要有下列类型

  隔离:只能同主vlan通信,本地vlan中的主机之间亦不可通信

  共用体:可以与主vlan通信,本地vlan中的主机之间亦可通信。

  交换机端口类型:

  混合:可与防火墙、路由器等网关设备连接,能够与连接到主vlan或辅助vlan的任何设备通信。

  主机:与隔离vlan或共用体vlan连接,只能与混合端口或同一个共用体vlan中的其他端口通信。

  配置辅助vlan

  R1(config)#vlanid

  R1(config-vlan)#private-vlan {isociate | community}

  定义主vlan,关联所有辅助vlan

  R1(config)#vlan id

  R1(config-vlan)#private-vlan primary

  R1(config-vlan)#private-vlan primary association {secondary-vlan-list| add secondary-vlan-list |remove secondary-vlan-listsecondary-vlan-list}

  定义端口类型(主机或混合端口)

  R1(config-if)#switchport mode private-vlan {host |promiscuos}

  非混合模式下,需要将主vlan和辅助vlan关联

  R1(config-if)#switchport private-vlan host-associate primary-vlan-idsecondary-vlan-id

  混合端口模式下,需要将端口映射到主vlan和辅助vlan

  R1(config-if)#switchport private-vlan mapping primary-vlan-idsecondary-vlan-id {addsecondary-vlan-id}|{removesecondary-vlan-id}

  具体配置

  R1(config)#vlan10

  R1(config-vlan)#private-vlan isociate

  R1(config)#vlan 20

  R1(config-vlan)#private-vlan isociate

  R1(config)#vlan 30

  R1(config-vlan)#private-vlan community

  R1(config)#vlan 100

  R1(config-vlan)#private-vlan primary

  R1(config-vlan)#private-vlan primary association vlan 102030

  R1(config-vlan)#exit

  R1(config)#int range fa0/1 – 2

  R1(config-if-range)#switchport mode private-vlan host

  R1(config-if-range)#switchport private-vlan host-associate10010

  R1(config-if-range)#exit

  R1(config)#int range fa0/5 – 6

  R1(config-if-range)#switchport mode private-vlan host

  R1(config-if-range)#switchport private-vlan host-associate10020

  R1(config-if-range)#exit

  R1(config)#int range fa0/3

  R1(config-if-range)#switchport mode private-vlan host

  R1(config-if-range)#switchport private-vlan host-associate10030

  R1(config-if-range)#exit

  R1(config)#int range fa1/10

  R1(config-if-range)#switchport mode private-vlan promiscuos

  R1(config-if-range)#switchport private-vlan mapping 100102030

  R1(config-if-range)#exit

 

上一篇:安卓防火墙 PS DroidWall

下一篇:交换机接入安全