vlan间的安全

heieye104

switch(config)#ip access-list extended map
switch(config-ext-nacl)#deny icmp host 10.1.2.10 host 10.1.2.30 echo
switch(config-ext-nacl)#deny tcp host 10.1.2.10 host 10.1.2.30 telnet
switch(config-ext-nacl)#deny tcp host 10.1.2.10 host 10.1.2.30 www
switch(config-ext-nacl)#permit ip any any switch(config-ext-nacl)#exit
switch(config)#vlan access-map map 10 switch(config-access-map)#match ip address map
switch(config-access-map)#exit switch(config)#vlan filter map vlan-list 11
switch(config)#exit
switch#write memory
这样就阻塞了 从工作站10.1.2.10到服务器的icmp ping telnet ，www流量在vlan11里配置vlan映射 vlan映射是在一个vlan内控制过滤的唯一方法
1.创建一个匹配授权流量的命名扩展访问列表
switch(config)#ip access-list extended ServerAllowed
switch(config-ext-nacl)#permit tcp 172.16.50.16 0.0.0.15 host 172.16.50.240 eq www
switch(config-ext-nacl)#end
2.创建一个匹配必须阻塞流量的命名扩展访问列表
switch(config)#ip access-list extended ServerBloacked
switch(config-ext-nacl)#permit tcp 172.16.50.0 0.0.0.127 host 172.16.50.240 eq www
switch(config-ext-nacl)#end
3.现在创建一个访问列表来允许ip流量通过vlan映射
switch(config)#ip access-list extended ServerDefaults
switch(config-ext-nacl)#permit ip any any
switch(config-ext-nacl)#end
4. 创建一个命名为ServerMap 的vlan接入映射，序号是10：
switch(config)#vlan access-map ServerMap 10 switch(config-access-map)#match ip address ServerAllowed
switch(config-access-map)#action forward
switch(config-access-map)#exit
5.为vlan访问映射增加一个序号20
switch(config)#vlan access-map ServerMap 20
switch(config-access-map)#match ip address ServerBlocked
switch(config-access-map)#action drop
switch(config-access-map)#end
6.为vlan访问映射增加一个序号30
switch(config)#vlan access-map ServerMap 30 switch(config-access-map)#match ip address ServerDefault
switch(config-access-map)#action forward switch(config-access-map)#end
7.在全局下使用创建的vlan访问映射来启动vlan59上的上vlan过滤
switch(config)#vlan filter ServerMap vlan-list 59（vlan名）
switch(config)#exit
FROM:http://www.netyourlife.net/forum/viewthread.php?tid=1714&;extra=page%3D1&page=1

[ 本帖最后由 heieye104 于 2008-9-23 11:45 编辑 ]