vlan跳跃攻击
打双层标记
配置端口为access端口
trunk模式最好是on
关闭trunk negotiation
本证vlan使用不用的vlan号
配置trunk链路要设置允许哪些vlan通过
交换机的acl
ip acl
mac acl
vlan acl
配置
access-list 100 permit ip 10.1.9.0 0.0.0.255 any
mac access-list extended backup-server
permit any host 0000.1111.4444
vlan access-map xyz 10
match ip address 100
action drop
vlan access-map xyz 20
match mac address backup-server
action drop
vlan access-map xyz 30
action forward
vlan filter xyz vlan-list 10,20
vlan的access-map(可以基于mac与ip)
vacl也叫vlan映射表,通过vacl可以实现对一个vlan中的流量进行过滤,vacl可以根据二层信息进行过滤,也可以根据三层信息来进行过滤。
1.通过调用ip acl.可以根据三层的ip地址、协议以及端口号等信息进行过滤。
2.drop丢弃,当数据流与某个拒绝语句匹配上,将被丢弃
3.重定向,对于数据流的转发方向作重定向,(高端交换机才支持)
注意:如果没有说明一条语句的操作行为,默认行为是forward,如果进入vlan的数据流没有匹配上任何一条语句,最后被丢弃掉
基于ip的
1.第一步定义过滤特性
access-list 1 permit 1.1.1.1 0.0.0.0
2.第二部定义vlan-map
vlan access-map cisco 10
match ip address 1
action drop
vlan access-map cisco 20
action forword
默认是转发的show run可以看到有action forword
3.第三步将vlan0map应用于vlan
vlan filter cisco vlan-list 100 全局模式下调用,要指明用在哪个vlan中,也可对所有vlan
检查命令show vlan access-map
基于mac地址的(mac地址列表)
1.第一步定义mac过滤特性
mac access-list extended ccnp
permit host 0030.1111.2222 any
2.第二步定义vlan-map
vlan access-map cisco 10
action drop
match mac address ccnp
vlan access-map cisco 20
action forward
action forward
3.第三步将vlan-map应用于vlan
vlan filter cisco vlan-list 10
access-map的名字vlan 号
vlan filter cisco vlan-list all对所有vlan
做这个实验时,要在么一台路由器上先clear arp-cache
标签:NP2011,MAP,vlan,map,VLAN,list,access,mac,action From: https://www.cnblogs.com/smoke520/p/18364701