VLAN attacks
攻击者伪装成trunk模式，能收到所有的vlan信息（模拟DTP帧，发送DTP帧 ）

解决方案：
1、switch mode access
2、VACL
3、PVLAN
4、Port-ACL

Vlan 的 access-map (可以基于mac与ip)
VACL也叫VLAN映射表，通过VACL可以实现对一个VLAN中的流量进行过滤。VACL可以根据二层信息进行过滤，也可以根据三层信息来进行过滤
1、通过调用IP  ACL，可以根据三层的IP地址、协议以及端口号等信息进行过滤
2、通过调用MAC  ACL，可以根据MAC地址进行过滤，还可以过滤其它的非IP流量
每一个VACL可以包含多条语句，每一条语句对于匹配的流量可以有三种不同的操作：
1、forward   转发，对数据帧或数据包进行正常转发
2、drop   丢弃，当数据流与某个拒绝语句匹配上，将被丢弃
3、重定向  对于数据流的转发方向作重定向   (高端交换机才支持)

注意：
如果没有说明一条语句的操作行为，默认的行为是forward。如果进入VLAN的数据流没有匹配上任何一条语句，最后将被丢弃掉

VACL一般三层交换机才支持（基于源MAC、源ip识别，动作只有转发、丢弃）
VACL配置步骤
第一步：access 1 permit any any
第二步：vlan access-map cisco
第三步：match ip address 1
action drop 动作
第四步：针对vlan100调用
vlan  filter cisco vlan-list 100

PVLAN(private VLAN)私有VLAN

应用场合:运营商、IDC

作用：同一vlan下的设备不能相互通信（一般是出去安全考虑）

PVLAN包括两种VLAN

1、主VLAN
2、辅助VLAN  又分为两种：隔离VLAN、联盟VLAN

辅助VLAN是属于主VLAN的，一个主VLAN可以包含多个辅助VLAN

在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN

三种端口类型：

隔离端口---属于隔离VLAN，设备不能互访，只能混杂端口（promiscuous）进行通信

联盟端口---属于联盟VLAN，设备可以互访

混杂端口---可以和其它端口通信,不属于任何一个子VLAN,通常是连接网关的端口或是连接服务器的端口

端口角色:promiscuous端口（primary vlan ）、host端口（secondary vlan）

规则：
在一个主VLAN中只能有一个隔离VLAN，可以有多个联盟VLAN
隔离VLAN中的主机相互间不能访问，也不能和其它子VLAN访问，也不能和外部VLAN访问，只能与混杂端口访问

联盟VLAN中的主机可以相互访问，可以和混杂端口访问，但不能和其它子VLAN访问，也不能和外部VLAN访问

1、设置主VLAN

SW1（config）#vlan 200
  private-vlan primary  

2、设置二级子VLAN
SW1（config）#vlan 201
  private-vlan isolated    设置为隔离VLAN

SW1（config）#vlan 202
  private-vlan community   设置为联盟VLAN

3、将子VLAN划入主VLAN中,建立一个关联
SW1（config）#vlan 200
  private-vlan association 201-202
SW1（config）#vlan 200
  private-vlan association add 203   加入一个子VLAN
  private-vlan association remove 203  移除一个子VLAN

4、将端口设定一个模式，并划入相应的VLAN中
int e0
  switchport mode private-vlan host  设置端口的模式，根据子VLAN的类型成为相应的端口
  switchport private-vlan host-association 200 201-----将端口划入VLAN200中的子VLAN201

int e0

  switchport mode private-vlan promiscuous   设置混杂端口
  switchport private-vlan mapping 200 201-202    设定混杂端口所能管理的子VLAN
  switchport private-vlan mapping 200 add/remove 203    增加或移除一个可管理的子VLAN

show vlan private-vlan

5、将辅助VLAN映射到主VLAN的第3层SVI接口，从而允许PVALN入口流量的第3层交换。
int vlan 200
  private-valn mapping 201-202    设置给予哪几个子VLAN特权，允许这几个子VLAN下的端口访问外部的网段。

show interfaces private-vlan mapping

Pvlan三层支持、二层也有端口隔离特性

单隔离组：同一个VLAN的用户要求安全，使用端口隔离
interface range GigabitEthernet0/0/1 to GigabitEthernet0/0/23
port-group 1
 group-member GigabitEthernet0/0/1 to GigabitEthernet0/0/23
 port link-type access
 port access vlan 100
 port-isolate enable

interface  g0/0/24 上联端口
port-isolate uplink-port   

创建隔离组2
port-isolate group 2   将端口GigabitEthernet4/0/2加入隔离组2
interface GigabitEthernet 4/0/2
 port-isolate enable group 2
interface GigabitEthernet 4/0/1 配置端口GigabitEthernet4/0/1为隔离组2的上行端口
 port-isolate uplink-port group 2

display isolate port 显示隔离端口

本文转自 周小玉 51CTO博客，原文链接：http://blog.51cto.com/maguangjie/1786703，如需转载请自行联系原作者