攻击者伪装成trunk模式,能收到所有的vlan信息(模拟DTP帧,发送DTP帧 )
解决方式:将所有端口设定为access
switchport mode access 关闭DTP
处于同一个VLAN的用户要求端口安全,使用端口隔离
私有vlan
应用场合:运营商、IDC
private vlans sub domain分为以下两种
1、primary vlan
2、secondary vlan (isolate不能互访的、community能互访的)之间是不能互访的
端口角色:promiscuous端口(primary vlan )、host端口(secondary vlan)
PVlan三层支持、二层也有端口隔离特性
SVI只能primary vlan管理
interface vlan 20
ip address
private-vlan mapping 501,502 其他端口可以管理
ip routing
单隔离组
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/24
port-group 1
group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/24
port link-type access
port access vlan 100
port-isolate enable
创建隔离组2
port-isolate group 2 将端口GigabitEthernet4/0/2加入隔离组2
interface GigabitEthernet 4/0/2
port-isolate enable group 2
interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口
port-isolate uplink-port group 2
display isolate port 显示隔离端口
vacl一般三层交换机才支持(基于源MAC、源ip识别,动作只有转发、丢弃)
VACL配置
第一步:access 1 permit any any
第二步:vlan access-map cisco
第三步:match ip address 1
action drop
第四步:调用
vlan filter cisco vlan-list 100
原文:http://maguangjie.blog.51cto.com/11214671/1903232