如何保证二层、终端、存储、语音安全??
1、 二层安全一旦被攻破,其他层就没有什么安全性而言
2、 二层安全是七层安全中最薄弱的环节
ARP 、dhcp、等一些协议中间传输过程中 都没有加密,
交换机的工作原理
PCA想要和PCB通信,先查路由表,结果在同一网段,PCA先查自己的ARP映射,ARP –a可以看出,如果没有到PCB的映射条目,则发送广播帧,源ip和源MAC的是PCA的接口信息,目标ip为PCB和目标mac为FF:FF:FF:FF:FF:FF,第一个收到广播帧的是SW,交换机收到帧后,会读取这个帧的源mac地址(MAC A),并加入到自己的ARP的表项中,并把该MAC与自己的F0/1端口绑定,交换机查目标mac为全FF,交换机无法加入全FF的mac地址,于是除接收端口外,采取泛洪,PCB和PCC都会收到帧,PCC看到这个目标IP不是找自己的,于是乎放弃,PCB看到目标IP是自己,于是乎,把PCA的mac地址和IP地址形成映射,加入到自己的ARP缓存中,并回应PCA,单播回应,收到单播的首先还是交换机,交换机把PCB的MAC地址加入到自己的 ARP表项中且绑定到自己的f0/2口上,并匹配目标MAC地址表项,结果查询到f0/1所绑定的mac相同,于是乎从f0/1转发出去,PCA收到回应后,把PCB的MAC地址加到自己的arp缓存中,有了地址,和联系人,我相信PCA肯定能找到PCB的。。。。
假如交换机cam里只有一个条目,交换机就会把这个不知道目的的单播帧进行泛洪
各位大家可以通过如下数据看出cam表里 mac条目的限制
上图是利用BT5产生大量随机的mac,占满交换机的mac条目,那么剩下的真实的mac地址请求就得不到真实回应了
以下是防攻击的做法
交换机端口安全讲解
intrange FastEthernet 0/1 - 48 进入接口1 - 48
switchport port-security 打开端口防护
switchport port-security maximum 5 允许最高5个MAC地址
switchport port-security violation protect 超过5个的MAC地址后的数据包全部丢弃
sw port-security violation [protect | restrict | shutdown ]
protect 丢弃来自非法源地址的包,不告警
restrict 丢弃来自非法源地址的包,发送syslog告警
shutdown(默认) 关闭端口,发送SNMP trap、Syslog 告警,除非管理员执行命令shut/no shut,否则端口一直处理down状态。
STP的安全
如果不做生成树保护的话,攻击者可接入交换机,进而选举根桥,截取核心业务流量
Root guard根保护 启用root guide后,下面可以接交换机,也可以接收和转发bdpu,但是下面的交换机不能成为根root。。
BPDU guard 如果在交换机接口上启用gpdu guide,下面是不能接交换机的,接交换机接口就down
扫一扫
1550
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
