NP2011-SW-22-VLAN跳跃攻击_VACL(VLAN-MAP)

vlan跳跃攻击

打双层标记

配置端口为access端口

trunk模式最好是on

关闭trunk negotiation

本证vlan使用不用的vlan号

配置trunk链路要设置允许哪些vlan通过

交换机的acl

ip acl

mac acl

vlan acl

配置

access-list 100 permit ip 10.1.9.0 0.0.0.255 any

mac access-list extended backup-server

permit any host 0000.1111.4444

vlan access-map xyz 10

match ip address 100

action drop

vlan access-map xyz 20

match mac address backup-server

action drop

vlan access-map xyz 30

action forward

vlan filter xyz vlan-list 10,20

vlan的access-map(可以基于mac与ip)

vacl也叫vlan映射表，通过vacl可以实现对一个vlan中的流量进行过滤，vacl可以根据二层信息进行过滤，也可以根据三层信息来进行过滤。

1.通过调用ip acl.可以根据三层的ip地址、协议以及端口号等信息进行过滤。

2.drop丢弃，当数据流与某个拒绝语句匹配上，将被丢弃

3.重定向，对于数据流的转发方向作重定向，（高端交换机才支持）

注意：如果没有说明一条语句的操作行为，默认行为是forward,如果进入vlan的数据流没有匹配上任何一条语句，最后被丢弃掉

基于ip的

1.第一步定义过滤特性

access-list 1 permit 1.1.1.1 0.0.0.0

2.第二部定义vlan-map

vlan access-map cisco 10

match ip address 1

action drop

vlan access-map cisco 20

action forword

默认是转发的show run可以看到有action forword

3.第三步将vlan0map应用于vlan

vlan filter cisco vlan-list 100 全局模式下调用，要指明用在哪个vlan中，也可对所有vlan

检查命令show vlan access-map

基于mac地址的(mac地址列表)

1.第一步定义mac过滤特性

mac access-list extended ccnp

permit host 0030.1111.2222 any

2.第二步定义vlan-map

vlan access-map cisco 10

action drop

match mac address ccnp

vlan access-map cisco 20

action forward

action forward

3.第三步将vlan-map应用于vlan

vlan filter cisco vlan-list 10

access-map的名字vlan 号

vlan filter cisco vlan-list all对所有vlan

做这个实验时，要在么一台路由器上先clear arp-cache