两个禁用交换机的空闲端口相接 如何使用ACL禁用相互访问同网段机器

来源:蜘蛛抓取(WebSpider) 时间:2019-07-29 21:39 标签: 禁用交换机的空闲端口

VIP专享文档是百度文库认证用户/机構上传的专业性文档文库VIP用户或购买VIP专享文档下载特权礼包的其他会员用户可用VIP专享文档下载特权免费下载VIP专享文档。只要带有以下“VIP專享文档”标识的文档便是该类文档

VIP免费文档是特定的一类共享文档,会员用户可以免费随意获取非会员用户需要消耗下载券/积分获取。只要带有以下“VIP免费文档”标识的文档便是该类文档

VIP专享8折文档是特定的一类付费文档,会员用户可以通过设定价的8折获取非会員用户需要原价获取。只要带有以下“VIP专享8折优惠”标识的文档便是该类文档

付费文档是百度文库认证用户/机构上传的专业性文档,需偠文库用户支付人民币获取具体价格由上传人自由设定。只要带有以下“付费文档”标识的文档便是该类文档

共享文档是百度文库用戶免费上传的可与其他用户免费共享的文档,具体共享方式由上传人自由设定只要带有以下“共享文档”标识的文档便是该类文档。

        前不久勒索病毒横行很多人都紛纷中招,从公司到个人损失相当惨重。有些公司在互联网入口上做了控制但是这样并非完全,万一有人把中了毒的U盘插入网内设备仩呢那我们的内网中很有可能集体中招(打过相关补丁的除外)。
        我们今天就说说如何在路由、禁用交换机的空闲端口上实现相应的访問控制封堵相关端口,防止病毒在网络内部蔓延以华为和H3C设备配置为例。

大部分配置相同毕竟本是同根生啊。

思科禁用交换机的空闲端口acl与vacl区別
 我们常说的VLAN之间 的访问控制它的实现方式是将ACL直接应用到VLAN的虚端口上,与应用到端口的ACL实现方式是一样的而VLAN访问控制(VACL),也称為 VLAN访问映射表它的实现方式与前者完全不同。它应用于VLAN中的所有流支持基于ETHERTYPE和MAC地址的过滤,可以防止未经授权的 数据流进入VLAN.目前支持嘚VACL操作有三种:转发(forward)丢弃(drop),重定向(redirect)

  VACL很少用到,在配置时要注意以下几点:

  4) VACL规则应用在NAT之前

  5) 一个VACL可以鼡于多个VLAN中;但一个VLAN只能与一个VACL关联。

  6) VACL只有在VLAN的端口被激活后才会启用否则状态为inactive.

  下面,我以Cisco3550禁用交换机的空闲端口作为实唎来详细描述一下两者之间不同的实现方式

  访问控制要求:vlan10和vlan20之间不能访问,但都能访问vlan30.

  (一) 通过VLAN之间ACL方式实现

  (二) 通过VACL方式实现

  (不同之处:因为VACL对数据流没有inbound和outbound之分所以要把允许通过某vlan的IP数据流都permit才行。VLAN10允许与VLAN30通讯而数据流又是双向的,所鉯要在ACL中增加VLAN30的网段)

  第二步:应用VACL

  以上就是关于VLAN之间ACL和VACL的简单配置实例我个人认为一般情况下,通过VLAN之间ACL实现访问控制比较方便但是当VLAN的端口 比较分散时,采用VACL相对而言就要简单很多不过使用VACL的前提是禁用交换机的空闲端口支持此功能,目前可能只有Cisco 3550、4500和6500系列的禁用交换机的空闲端口支持

我要回帖

更多关于 禁用交换机的空闲端口 的文章

 

随机推荐