安全保护-局域网安全

交换安全-局域网安全
二层交换机安全
mac洪泛攻击 将单波帧转换为未知单波帧举行洪泛
中心人攻击
mac所在漂移
通过端口掩护防止攻击
端口安全 维护一个合法的端口与mac对应的关系

处罚、
1.protect（端口mac条目数目过多，新盘算机无法接入，
原有jisuanji 不受影响，
交换机不发送告诫信息）
2.restrict（端口mac条目数目过多，新盘算机无法接入，
交换机发送告诫信息）
3.shutdown（端口mac条目数目过多，端口关闭，全部盘算机无法接入网络，须要“shutdown”
“no shutdown”下令重新打开）

errdisable recovery cause psecure-violation(处罚规复)
errdisable recovery interval 60(规复时间设置)
switchport protected(端口隔离)

docker

vlan
1.数据接入接口如果没有打vlan标志
，那么接口会选择放行，查表后会打上这个接口的标志
2.vlan标志与接口不同等抛弃
3.vlan标志与接口标志雷同，则撕掉封装放行

DTP
技能上：
vlan跳转攻击
vlan tag native dot1q，
将交换机不消的接口划在同一vlan中，关闭这些接口

管理上：
1.pc不能划入本征vlan
2.本征vlan移动
3.把不消的接口关闭
4.把不消的接口划入特殊vlan

DTP协商轻易遭到攻击，全部一样寻常trunk协商我们都是关闭的
switchport trunk
switchport nonegotiate

dhcp攻击
IP dhcp snooping
ip dhcp snooping vlan 10
ip vlan 10
int e0
ip dhcp snooping trusted
ip dhcp snooping limit rate ?（用合法的方式告竣非法的目标）
防止拒绝式服务攻击

dhcp耗尽式攻击（不停哀求）chaddr
1.二层帧source mac 和 chaddr的mac同等
端口掩护即可防御
2.二层帧source mac稳固 和 而chaddr的mac变革
IP dhcp snooping verify mac-address
//检测二层mac与chaddr mac是否同等，不同等则抛弃

dhcp snooping的绑定表
接口 获取的ip mac vlan 租期

把绑定表存储起来
ip dhcp snooping database flash: xx.txt
关option 82

中继环境下无法关闭option 82
在网关接口中设置
IP dhcp relay information trust//仅对路由器当前接口有效
ip dhcp relay infomation trust-all//对路由器全部接口有效

ARP诱骗
DAI动态arp检测技能（检测arp包），ip-mac关系是否合法
ip arp inspection vlan 1 //在vlan1开启DAI
ip arp inspection validata src-mac dst-mac ip//查抄arp哀求和相应报文
int f0/1
ip arp inspection trust //设置本接口为信托接口
int range f0/11-12
ip arp inspection limit none// 取消arp包限定，默认15个包/秒
ip arp inspection limit 10

ip所在诱骗
int f0/2
ip verify source port-security
int range f0/3-4
ip verify source port-security
ip source binding 0023.04e5.b221 vlan 1172.16.1.3 int f0/3

端口壅闭：
int f0/0
switchport block multicast
switchport block unicast
show int f0/0 switchport
一样寻常用于掩护毗连服务器的端口大概某个紧张的端口

风暴控制 当交换网络出现单波/组播/广播时，
可以克制转发这些风暴包的接口

天生树
1.portfast
加快收敛blocking->forwording
全部接口都不拜见加天生树的构建
2.bpduguard
接口下启用，若接口收到bpdu信息接口会立即进入err-disable状态
show int f0/1
3.bpdufilter
接口下启用，收到的bpdu信息会被过滤风险，
交换机丧失对这个接口的环路判断
全局设置下，接口状态回到监听状态

4.rootguart 制止抢根的bpdu （切忌在天生树创建乐成之前敲此下令，
在一些不信托的接口使用此下令）
只能在接口下敲
spaning-tree guard root
5.loopguard 一样寻常在壅闭端口，防止单向链路标题而引发的环路
spaning-tree guard loop
spanning-tree loopguard default
6。udld 单向链路检测
接口下，两头启用，可代替loopguard

交换机的调解时间
默认5min，
mac表满了调小时间，
交换网络未知单波帧过多洪泛调大时间
mac address-table again-time

mac access-list extended X
permit