端口安全筆記二

VLAN attacks

攻擊者僞裝成trunk模式，能收到所有的vlan資訊（模拟DTP幀，發送DTP幀 ）

解決方案：

1、switch mode access

2、VACL

3、PVLAN

4、Port-ACL

Vlan 的 access-map (可以基于mac與ip)

VACL也叫VLAN映射表，通過VACL可以實作對一個VLAN中的流量進行過濾。VACL可以根據二層資訊進行過濾，也可以根據三層資訊來進行過濾

1、通過調用IP  ACL，可以根據三層的IP位址、協定以及端口号等資訊進行過濾

2、通過調用MAC  ACL，可以根據MAC位址進行過濾，還可以過濾其它的非IP流量

每一個VACL可以包含多條語句，每一條語句對于比對的流量可以有三種不同的操作：

1、forward   轉發，對資料幀或資料包進行正常轉發

2、drop   丢棄，當資料流與某個拒絕語句比對上，将被丢棄

3、重定向  對于資料流的轉發方向作重定向   (高端交換機才支援)

注意：

如果沒有說明一條語句的操作行為，預設的行為是forward。如果進入VLAN的資料流沒有比對上任何一條語句，最後将被丢棄掉

VACL一般三層交換機才支援（基于源MAC、源ip識别，動作隻有轉發、丢棄）

VACL配置步驟

第一步：access 1 permit any any

第二步：vlan access-map cisco

第三步：match ip address 1

action drop 動作

第四步：針對vlan100調用

vlan  filter cisco vlan-list 100

PVLAN(private VLAN)私有VLAN

應用場合:營運商、IDC

作用：同一vlan下的裝置不能互相通信（一般是出去安全考慮）

PVLAN包括兩種VLAN

1、主VLAN

2、輔助VLAN  又分為兩種：隔離VLAN、聯盟VLAN

輔助VLAN是屬于主VLAN的，一個主VLAN可以包含多個輔助VLAN

在一個主VLAN中隻能有一個隔離VLAN，可以有多個聯盟VLAN

三種端口類型：

隔離端口---屬于隔離VLAN，裝置不能互訪，隻能混雜端口（promiscuous）進行通信

聯盟端口---屬于聯盟VLAN，裝置可以互訪

混雜端口---可以和其它端口通信,不屬于任何一個子VLAN,通常是連接配接網關的端口或是連接配接伺服器的端口

端口角色:promiscuous端口（primary vlan ）、host端口（secondary vlan）

規則：

隔離VLAN中的主機互相間不能通路，也不能和其它子VLAN通路，也不能和外部VLAN通路，隻能與混雜端口通路

聯盟VLAN中的主機可以互相通路，可以和混雜端口通路，但不能和其它子VLAN通路，也不能和外部VLAN通路

<a href="https://s3.51cto.com/wyfs02/M00/8F/B1/wKiom1jp_4KRF9BVAAEGB03skhk995.jpg" target="_blank"></a>

1、設定主VLAN

SW1（config）#vlan 200

  private-vlan primary  

2、設定二級子VLAN

SW1（config）#vlan 201

  private-vlan isolated    設定為隔離VLAN

SW1（config）#vlan 202

  private-vlan community   設定為聯盟VLAN

3、将子VLAN劃入主VLAN中,建立一個關聯

  private-vlan association 201-202

  private-vlan association add 203   加入一個子VLAN

  private-vlan association remove 203  移除一個子VLAN

4、将端口設定一個模式，并劃入相應的VLAN中

int e0

  switchport mode private-vlan host  設定端口的模式，根據子VLAN的類型成為相應的端口

  switchport private-vlan host-association 200 201-----将端口劃入VLAN200中的子VLAN201

  switchport mode private-vlan promiscuous   設定混雜端口

  switchport private-vlan mapping 200 201-202    設定混雜端口所能管理的子VLAN

  switchport private-vlan mapping 200 add/remove 203    增加或移除一個可管理的子VLAN

show vlan private-vlan

5、将輔助VLAN映射到主VLAN的第3層SVI接口，進而允許PVALN入口流量的第3層交換。

int vlan 200

  private-valn mapping 201-202    設定給予哪幾個子VLAN特權，允許這幾個子VLAN下的端口通路外部的網段。

show interfaces private-vlan mapping

Pvlan三層支援、二層也有端口隔離特性

單隔離組：同一個VLAN的使用者要求安全，使用端口隔離

interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/23

port-group 1

 group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/23

 port link-type access

 port access vlan 100

 port-isolate enable

interface  g0/0/24 上聯端口

port-isolate uplink-port   

建立隔離組2

port-isolate group 2   将端口GigabitEthernet4/0/2加入隔離組2

interface GigabitEthernet 4/0/2

 port-isolate enable group 2

interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1為隔離組2的上行端口

 port-isolate uplink-port group 2

display isolate port 顯示隔離端口

本文轉自 周小玉 51CTO部落格，原文連結：http://blog.51cto.com/maguangjie/1786703，如需轉載請自行聯系原作者