二层交换安全

二层交换安全
告急攻击本领：
1.Mac洪泛攻击
2.中心人攻击
3.MAC地点漂移：中心人攻击，二层出环

处理惩罚方法：
1.维护一个合法的端口与MAC对应关系 一对一捆绑

Port-security 通过接口的第一个MAC，为要绑定的
Maximum 后加最大Mac数
若高出最大数 处罚

一对一绑定升级：粘滞安全Mac地点 进入接口后自动绑定（应对网络巨大）

Int f0/0
switchport protected 接口隔离 公共场合，均需隔离（纵然同网段也不通讯，只能与网关通）

DTP
1.Vlan跳转攻击

修补毛病

2.本征VLAN（过干道不贴标签）会被跳转攻击
接口处理惩罚数据方法：
1）数据无VLAN标记：放过数据，通事后，打上该接口标记
2）数据有VLAN标记，且与接口VLAN标记类似：撕掉标记，放行
3）数据有VLAN标记，且与接口VLAN标记不类似：抛弃

封堵本征VLAN攻击：
技能上：过干道时，强行贴标签
vlan tag native dot1q
管理上：
1.pc不能被划入本征VLAN
2.本征VLAN重新设置
3.把不消的接口关闭
4.把不消的接口划在特殊VLAN

3.ARP攻击 伪造MAC地点，再转发
4.IP地点诱骗 修改本身IP

对于攻击的防御：
一、Dhcp防御：
1.交换机监测 dhcp包，辨认包中字段 监测非dhcp接口，是否有offer包发出
Ip dhcp snooping vlan 100
Int e0/0
Ip dhcp snooping trusted
Ip dhcp snooping limit rate 100 防止–拒绝式服务攻击，每秒最大100个包

2.防止dhcp饥饿（耗尽攻击）：
检测chaddr
1）二层帧 source mac和chaddr 的Mac同等
端口掩护即可防御
2）二层帧 source mac稳固，而chaddr 的Mac厘革
ip dhcp snooping verify mac-address
查抄chaddr 中Mac与二层帧Mac是否类似，差别则抛弃

		注：    Dhcp snooping的绑定表中有
				接口获取的 ip mac vlan 租期
				把绑定表存储 ip dhcp snooping database flash: xx.txt

多台交换机：
1.跨交换机，干道两端都要为信托口，否则会收到带82的数据包，非信托丢包
2.让一端为不信托 no ip dhcp snooping information option 不插入option 82
3.中继时，不能关82 ，在接口上写 ip dhcp relay information trust 答应82为0的通过

二、ARP诱骗防御：
找精确的绑定表 dhcp snooping
DAI技能 看ARP包中ip 与Mac对应是否合法

Ip arp inspection vlan 1
Int f0/1
Ip arp inspection trust

三、Ip地点诱骗防御

在特定接口查snooping 表
Int f0/2
Ip verify source port-security //在本接口启用IPSG功能
无snooping表可查时
Ip source binding 0023. 04e5.b221 Vlan 1 172.16.1.3 int f0/3 //手工写入

端口壅闭：只壅闭组播，未知单播 掩护服务器端口或某个告急端口

风暴控制：克制转发这些风暴包的接口

天生树的一些特性：
1.portfast

Spanning-tree portfast default
若接口天生BPDU，退出
2.bpduguard 处罚
接口下启用，若吸收到bpdu，则关闭接口


3.bpdufilter 过滤

4.rootguart 制止抢根的BPDU消息 在天生树收敛完成敲 只能作用于接口
交换机在接口处判断优先级
一样平常在不信托的口做（可以是干道）

5.loopguard 一样平常用在壅闭端口，防止单向链路标题而引发的环路 常见于光纤
光纤一条断，形成环路

6.UDLD 单向链路检测

欺压让对方回包，不回包，则全部挂掉

登录安全：
Line vty 0 4
Transport input
Access-class 1 in
Access-list 1 permit host 10.1.1.1
No ip http server

Mac address-table aging-time //调解Mac老化时间
1.mac表存满 调小
2.未知单播帧过多 调大