2_protecting against VLAN Attacks-ok

explaining vlan hopping

dtp

double tagging

access ports

1.shutdown所有没有被使用的接口

2.配置没有使用接口access mode

3.配置一个没有配使用vlan到接口

4.配置一个没有被使用的接口道native vlan

5.关闭cdp

trunk ports

1.关掉trunk协商功能

2.配置一个vlan设置为trunk的native vlan的接口

3.配置允许的vlan在trunk过。

交换机acl

racl

vacl

iacl路由器的访问控制列表

实验：

racl

sw:

ip access-list ex vlan2.in

permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq 23

permit tc 10.1.1.0 0.0.0.255 eq 23 10.1.2.0 0.0.0.255

ip access-list ex vlan3.in

permit tcp 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23

permit tcp 10.1.2.0 0.0.0.255 eq telnet 10.1.1.0 0.0.0.255

int vlan 2

ip access-group vlan2.in in

int vlan 3

ip access-group vlan3.in in

vacl

vacl特点

1.能够对vlan内和vlan间的流量进行控制

2.能够对ip和none-ip的流量进行控制

3.vacl先于racl进行处理

4.无方向性，进入或者离开都受控制

5.能够实现capture

sw:

ip access-list ex inter.vlan

permit tcp 10.1.1.0 0.0.0.255 10.1.2.0 0.0.0.255 eq 23

permit tcp 10.1.2.0 0.0.0.255 eq 23 10.1.1.0 0.0.0.255

permit tcp 10.1.2.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23

permit tcp 10.1.1.0 0.0.0.255 eq 23 10.1.2.0 0.0.0.255

ip access-list ex intra.vlan

permit tcp 10.1.1.0 0.0.0.255 10.1.1.0 0.0.0.255 eq 23

permit tcp 10.1.1.0 eq 23 10.1.1.0 0.0.0.255

mac access-list extended intra.vlan.arp

permit any any 0x0806 0x0

vlan access-map vacl 10

match ip address inter.vlan

action forward

vlan access-map vacl 20

match ip address intra.vlan

vlan access-map vacl 30

match mac address intra.vlan.arp

action forward

vlan access-map vacl 40

action drop

vlan filter vlan vlan-list 2

pacl

最优先

sw:

ip access-list ex pacl

permit tcp host 10.1.1.1 host 10.1.1.3 eq 23

int f0/1

ip access-group pacl in(只能用在入方向）