端口安全笔记二

VLAN attacks

攻击者伪装成trunk模式，能收到所有的vlan信息（模拟DTP帧，发送DTP帧 ）

解决方案：

1、switch mode access

2、VACL

3、PVLAN

4、Port-ACL

Vlan 的 access-map (可以基于mac与ip)

VACL也叫VLAN映射表，通过VACL可以实现对一个VLAN中的流量进行过滤。VACL可以根据二层信息进行过滤，也可以根据三层信息来进行过滤

1、通过调用IP  ACL，可以根据三层的IP地址、协议以及端口号等信息进行过滤

2、通过调用MAC  ACL，可以根据MAC地址进行过滤，还可以过滤其它的非IP流量

每一个VACL可以包含多条语句，每一条语句对于匹配的流量可以有三种不同的操作：

1、forward   转发，对数据帧或数据包进行正常转发

2、drop   丢弃，当数据流与某个拒绝语句匹配上，将被丢弃

3、重定向  对于数据流的转发方向作重定向   (高端交换机才支持)

注意：

如果没有说明一条语句的操作行为，默认的行为是forward。如果进入VLAN的数据流没有匹配上任何一条语句，最后将被丢弃掉

VACL一般三层交换机才支持（基于源MAC、源ip识别，动作只有转发、丢弃）

VACL配置步骤

第一步：access 1 permit any any

第二步：vlan access-map cisco

第三步：match ip address 1

action drop 动作

第四步：针对vlan100调用

vlan  filter cisco vlan-list 100

PVLAN(private VLAN)私有VLAN

应用场合:运营商、IDC

作用：同一vlan下的设备不能相互通信（一般是出去安全考虑）

PVLAN包括两种VLAN

1、主VLAN

2、辅助VLAN  又分为两种：隔离VLAN、联盟VLAN

辅助VLAN是属于主VLAN的，一个主VLAN可以包含多个辅助VLAN

在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN

三种端口类型：

隔离端口---属于隔离VLAN，设备不能互访，只能混杂端口（promiscuous）进行通信

联盟端口---属于联盟VLAN，设备可以互访

混杂端口---可以和其它端口通信,不属于任何一个子VLAN,通常是连接网关的端口或是连接服务器的端口

端口角色:promiscuous端口（primary vlan ）、host端口（secondary vlan）

规则：

隔离VLAN中的主机相互间不能访问，也不能和其它子VLAN访问，也不能和外部VLAN访问，只能与混杂端口访问

联盟VLAN中的主机可以相互访问，可以和混杂端口访问，但不能和其它子VLAN访问，也不能和外部VLAN访问

<a href="https://s3.51cto.com/wyfs02/M00/8F/B1/wKiom1jp_4KRF9BVAAEGB03skhk995.jpg" target="_blank"></a>

1、设置主VLAN

SW1（config）#vlan 200

  private-vlan primary  

2、设置二级子VLAN

SW1（config）#vlan 201

  private-vlan isolated    设置为隔离VLAN

SW1（config）#vlan 202

  private-vlan community   设置为联盟VLAN

3、将子VLAN划入主VLAN中,建立一个关联

  private-vlan association 201-202

  private-vlan association add 203   加入一个子VLAN

  private-vlan association remove 203  移除一个子VLAN

4、将端口设定一个模式，并划入相应的VLAN中

int e0

  switchport mode private-vlan host  设置端口的模式，根据子VLAN的类型成为相应的端口

  switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201

  switchport mode private-vlan promiscuous   设置混杂端口

  switchport private-vlan mapping 200 201-202    设定混杂端口所能管理的子VLAN

  switchport private-vlan mapping 200 add/remove 203    增加或移除一个可管理的子VLAN

show vlan private-vlan

5、将辅助VLAN映射到主VLAN的第3层SVI接口，从而允许PVALN入口流量的第3层交换。

int vlan 200

  private-valn mapping 201-202    设置给予哪几个子VLAN特权，允许这几个子VLAN下的端口访问外部的网段。

show interfaces private-vlan mapping

Pvlan三层支持、二层也有端口隔离特性

单隔离组：同一个VLAN的用户要求安全，使用端口隔离

interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/23

port-group 1

 group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/23

 port link-type access

 port access vlan 100

 port-isolate enable

interface  g0/0/24 上联端口

port-isolate uplink-port   

创建隔离组2

port-isolate group 2   将端口GigabitEthernet4/0/2加入隔离组2

interface GigabitEthernet 4/0/2

 port-isolate enable group 2

interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口

 port-isolate uplink-port group 2

display isolate port 显示隔离端口

本文转自 周小玉 51CTO博客，原文链接：http://blog.51cto.com/maguangjie/1786703，如需转载请自行联系原作者