最近勒索病毒频发，导致全球范围内好多电脑中招。因为几个人，导致很多工程师都在加班。各大安全厂商、程序员、系统维护人员、网络维护人员全都忙得热火朝天。网络防护是防止病毒扩散的重要方法。很多小伙伴会问，我公司的路由器、交换机需要怎样防护呢？

第一、  为了防止不同网段之间的病毒扩散，可以在网关设备上做ACL来防护，举例如下：

access-list102 deny   tcp any any eq 135

access-list102 deny   udp any any eq 135

access-list102 deny   udp any any eq netbios-ns

access-list102 deny   udp any any eq netbios-dgm

access-list102 deny   tcp any any eq 139

access-list102 deny   udp any any eq netbios-ss

access-list102 deny   tcp any any eq 445

access-list102 deny   udp any any eq 445

access-list102 deny   tcp any any eq 539

access-list102 deny   udp any any eq 539

access-list102 deny   tcp any any eq 593

access-list102 deny   udp any any eq 593

access-list102 deny   udp any any eq 1434

access-list102 deny   tcp any any eq 4444

access-list 102 permit ip any any

interface vlan 100

 ip access-group 102 in

因为普通ACL列表大家基本都会，只需要写好调用在VLAN接口下，就能阻止不同网段（不同VLAN）间病毒通过445端口扩散。

但是，此时有小伙伴就问了：不同网段是阻止了，同网段（VLAN）下怎么阻止？

第二、  下面我着重介绍一下VACL的概念和案例配置：

VACL，也就是VLAN MAP。思科原文档是这样写的：VLAN maps, whichis the only way to control filtering within a VLAN.VLAN maps have no direction。

（VLAN maps，唯一在VLAN内进行控制过滤的方法。VLANmap没有方向）

要配置vlan map ，首先要配置普通的ACL（包括MAC ACL，ACL等）。

配置步骤：

1、  创建一个你想应用在VLAN上的标准的IPV4 ACL或扩展的IPV4 ACL，或命名的MAC ACL。

2、  全局下敲 vlanaccess-map xxx 来创建一个access-map实例。

3、  在access-map配置模式下，配置命令actionforward或action drop来定义匹配数据流的行为；match命令来匹配数据流。

4、  全局下使用vlanfilter来命令来调用access-map到一个或多个VLAN上。

举例：

 ip access listextended  drop445

 deny tcp any 1.1.1.1 eq 445  (排除主机到服务器的。此处假设域服务器IP为1.1.1.1)

deny tcp 1.1.1.1 any eq 445   （排除服务器到主机的）

 premit tcp any any eq445   (匹配其他所有主机)

 vlan access-map drop445map 10

    match ip address drop445

    action drop

 vlan access-map drop445map 20

    action forward

vlan filter drop445map vlan all

         tips:有同学要问了，如果说我既在interfacevlan下配置了ACL，又配置了VACL（Vlan Map），那他们的工作优先顺序又是怎样的呢？直接见下图吧：

本文出自 “学习笔记-交流沟通” 博客，请务必保留此出处http://hatakexiu.blog.51cto.com/8687633/1926311

VACL学习笔记