vlan间的安全（命令总结）

network · 发表于 2007-12-30 07:39:06

vlan间的安全（命令总结）

vlan间的安全
switch(config)#ip access-list extended map
switch(config-ext-nacl)#deny icmp host 10.1.2.10 host 10.1.2.30 echo
switch(config-ext-nacl)#deny tcp host 10.1.2.10 host 10.1.2.30 telnet
switch(config-ext-nacl)#deny tcp host 10.1.2.10 host 10.1.2.30 www
switch(config-ext-nacl)#permit ip any any
switch(config-ext-nacl)#exit
switch(config)#vlan access-map map 10
switch(config-access-map)#match ip address map
switch(config-access-map)#exit
switch(config)#vlan filter map vlan-list 11
switch(config)#exit
switch#write memory
这样就阻塞了从工作站10.1.2.10到服务器的icmp ping
telnet ，www流量在vlan11里
配置vlan映射 vlan映射是在一个vlan内控制过滤的唯一方法
1.创建一个匹配授权流量的命名扩展访问列表
switch(config)#ip access-list extended ServerAllowed
switch(config-ext-nacl)#permit tcp 172.16.50.16 0.0.0.15 host 172.16.50.240 eq www
switch(config-ext-nacl)#end
2.创建一个匹配必须阻塞流量的命名扩展访问列表
switch(config)#ip access-list extended ServerBloacked
switch(config-ext-nacl)#permit tcp 172.16.50.0 0.0.0.127 host 172.16.50.240 eq www
switch(config-ext-nacl)#end
3.现在创建一个访问列表来允许ip流量通过vlan映射
switch(config)#ip access-list extended ServerDefaults
switch(config-ext-nacl)#permit ip any any
switch(config-ext-nacl)#end
4. 创建一个命名为ServerMap 的vlan接入映射，序号是10：
switch(config)#vlan access-map ServerMap 10
switch(config-access-map)#match ip address ServerAllowed
switch(config-access-map)#action forward
switch(config-access-map)#exit
5.为vlan访问映射增加一个序号20
switch(config)#vlan access-map ServerMap 20
switch(config-access-map)#match ip address ServerBlocked
switch(config-access-map)#action drop
switch(config-access-map)#end
6.为vlan访问映射增加一个序号30
switch(config)#vlan access-map ServerMap 30
switch(config-access-map)#match ip address ServerDefault
switch(config-access-map)#action forward
switch(config-access-map)#end
7.在全局下使用创建的vlan访问映射来启动vlan59上的上vlan过滤
switch(config)#vlan filter ServerMap vlan-list 59（vlan名）
switch(config)#exit

network · 发表于 2007-12-31 07:30:19

应用

账号		自动登录	找回密码
密码			注册