深入分析配置 杜绝交换机免受恶意攻击

　　2、ACL配置，确保交换机VLAN安全

　　大家知道，ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么“允许”， 要么“拒绝” 数据包通过。访问列表能够对通过交换机的数据流进行控制。ACL通过对网络资源进行

　　访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

　　配置VLAN Access Map

　　Switch(config)#vlan access-map test1

　　//定义一个vlan accessmap，取名为test1

　　Switch(config-vlan-access)#match ip address 101

　　//设置匹配规则为acl 101

　　Switch(config-vlan-access)#action forward

　　//匹配后，设置数据流转发(forward)

　　Switch(config)#vlan access-map test2

　　//定义一个vlan accessmap，取名为test2

　　Switch(config-vlan-access)#match ip address 102

　　//设置匹配规则为acl 102

　　Switch(config-vlan-access)#action forward

　　//匹配后，设置数据流转发(forward)

　　应用VACL

　　Switch(config)#vlan filter test1 vlan-list 10

　　//将上面配置的test1应用到vlanl0中

　　Switch(config)#vlan filter test2 vlan-list 20

　　//将上面配置的test2应用到vlan20中

　　配置私有VLAN

　　定义辅助VLAN10、20、30

　　Switch(config)#vlan 10

　　Switch(config-vlan)#private vlan community

　　定义主VLANIO0并与所有辅助VLAN建立关系

　　Switch(config)#vlan 100

　　Switch(config-vlan)#private vlan community

　　Switch(config-vlan)#private vlan association 10,20,30

　　定义端口在私有VLAN 中的模式为主机(Host)或混合(Promiscuous)，并配置关联或映射

　　Switch(config-if)#switchport mode private host

　　Switch(config-if)#switchport mode private host-association 100 30