2、ACL配置，确保交换机VLAN安全

大家知道，ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么“允许”， 要么“拒绝” 数据包通过。访问列表能够对通过交换机的数据流进行控制。ACL通过对网络资源进行

访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。

配置VLAN Access Map

Switch(config)#vlan access-map test1

//定义一个vlan accessmap，取名为test1

Switch(config-vlan-access)#match ip address 101

//设置匹配规则为acl 101

Switch(config-vlan-access)#action forward

//匹配后，设置数据流转发(forward)

Switch(config)#vlan access-map test2

//定义一个vlan accessmap，取名为test2

Switch(config-vlan-access)#match ip address 102

//设置匹配规则为acl 102

Switch(config-vlan-access)#action forward

//匹配后，设置数据流转发(forward)

应用VACL

Switch(config)#vlan filter test1 vlan-list 10

//将上面配置的test1应用到vlanl0中

Switch(config)#vlan filter test2 vlan-list 20

//将上面配置的test2应用到vlan20中

配置私有VLAN

定义辅助VLAN10、20、30

Switch(config)#vlan 10

Switch(config-vlan)#private vlan community

定义主VLANIO0并与所有辅助VLAN建立关系

Switch(config)#vlan 100

Switch(config-vlan)#private vlan community

Switch(config-vlan)#private vlan association 10,20,30

定义端口在私有VLAN 中的模式为主机(Host)或混合(Promiscuous)，并配置关联或映射

Switch(config-if)#switchport mode private host

Switch(config-if)#switchport mode private host-association 100 30

3、深入配置，确保交换机免受恶意攻击

(1).防动态中继协议DTP攻击

交换机通过交换DTP协议，动态协商中继链路的用法和封装模式。然而，如果交换机中继端口模式为Auto，它将等待处于模式Auto或On的另一台交换机的请求建立连接。这时，如果恶意用户利用DTP尝试同交换机端口协商建立中继链路，攻击者将可以捕获任何通过该VLAN的数据流。

防范方法是：将任何连接到用户的端口配置为Access模式，从而使它不能以Auto模式使用DTP。需要使用的命令为：

Switch(config-if)#switchport mode access

(2).防范VLAN跨越式攻击

在这种攻击方法中，攻击者位于普通VLAN，发送被双重标记的帧，就像使用的是802.1q中继链路。当然，攻击者连接的并非中继线路，他通过伪造中继封装，欺骗交换机将帧转发到另一个VLAN中，实现VLAN跨越式攻击，从而在数据链路层就可非法访问另一VLAN。

防范方法是：首先，修改本征VLAN ID并在中继链路两端将本征VLAN修剪掉命令为：

Switch(config-if)#switchport trunk native vlan 200

Switch(config-if)#switchport trunk allowed vlan remove 200

然后，强制所有的中继链路给本征VLAN加标记，命令为：

Switch(config)#vlan dotlq tagnative

(3).防范DHCP欺骗攻击

DHCP欺骗的原理可以简述为，攻击者在某计算机上运行伪造的DHCP服务器，当客户广播DHCP请求时，伪造服务器将发送自己的DHCP应答，将其IP地址作为默认网关客户收到该应答后，前往子网外的数据分组首先经过伪网关。如果攻击者够聪明，他将转发该数据分组到正确的地址，但同时他也捕获到了这些分组。尽管客户信息泄露了，但他却对此毫无所知。