VLAN安全

作者: 康康 分类: 内网安全,安全运维 发布时间: 2018-01-05 15:43
转自http://blog.sina.com.cn/s/blog_74beb6a20100sptr.html,方便查阅
建立VACL,使同一个vlan内部的机器不能互访
R1(config)#vlan access-map map-name [sequence]
R1(config-access-map)#match ip address {acl-number | acl-name}
R1(config-access-map)#match ipx address {acl-number | acl-name}
R1(config-access-map)#match mac address acl-name
R1(config-access-map)#action {drop | forward | redirect}
R1(config)#vlan filter map-name vlan-list vlan-list私有vlan
Case 1:ISP用同一个vlan同多个客户网络连接,每个客户需要与该vlan网关中的ISP通信,但客户之间不能通信
Case 2:位于同一个vlan中的所有服务器都可以通过与网关通信,服务器之间不能相互通信,但能通过网关与不在本地网络中的终端通信
私有vlan(PVLAN)将常规(主)VLAN逻辑关联到单向(辅助)VLAN
辅助vlan可以同主vlan通信,但不能同其他辅助vlan通信,主要有下列类型
隔离:只能同主vlan通信,本地vlan中的主机之间亦不可通信
共用体:可以与主vlan通信,本地vlan中的主机之间亦可通信。
交换机端口类型:
混合:可与防火墙、路由器等网关设备连接,能够与连接到主vlan或辅助vlan的任何设备通信。
主机:与隔离vlan或共用体vlan连接,只能与混合端口或同一个共用体vlan中的其他端口通信。

配置辅助vlan
R1(config)#vlan id
R1(config-vlan)#private-vlan {isociate | community}
定义主vlan,关联所有辅助vlan
R1(config)#vlan id
R1(config-vlan)#private-vlan primary
R1(config-vlan)#private-vlan primary association {secondary-vlan-list | add secondary-vlan-list |remove secondary-vlan-listsecondary-vlan-list}

定义端口类型(主机或混合端口)
R1(config-if)#switchport mode private-vlan {host | promiscuos}
非混合模式下,需要将主vlan和辅助vlan关联
R1(config-if)#switchport private-vlan host-associate primary-vlan-id secondary-vlan-id
混合端口模式下,需要将端口映射到主vlan和辅助vlan
R1(config-if)#switchport private-vlan mapping primary-vlan-id secondary-vlan-id  {add secondary-vlan-id }|{remove secondary-vlan-id }

具体配置
R1(config)#vlan 10
R1(config-vlan)#private-vlan isociate
R1(config)#vlan 20
R1(config-vlan)#private-vlan isociate
R1(config)#vlan 30
R1(config-vlan)#private-vlan community
R1(config)#vlan 100
R1(config-vlan)#private-vlan primary
R1(config-vlan)#private-vlan primary association vlan 10 20 30
R1(config-vlan)#exit
R1(config)#int range fa0/1 – 2
R1(config-if-range)#switchport mode private-vlan host
R1(config-if-range)#switchport private-vlan host-associate 100 10
R1(config-if-range)#exit
R1(config)#int range fa0/5 – 6
R1(config-if-range)#switchport mode private-vlan host
R1(config-if-range)#switchport private-vlan host-associate 100 20
R1(config-if-range)#exit
R1(config)#int range fa0/3
R1(config-if-range)#switchport mode private-vlan host
R1(config-if-range)#switchport private-vlan host-associate 100 30
R1(config-if-range)#exit

R1(config)#int range fa1/10
R1(config-if-range)#switchport mode private-vlan promiscuos
R1(config-if-range)#switchport private-vlan mapping 100 10 20 30
R1(config-if-range)#exit

发表评论

电子邮件地址不会被公开。 必填项已用*标注