交换安全之协议安全-VLAN安全、MAC安全、DHCP安全、ARP安全、IP安全

最新推荐文章于 2022-12-06 20:38:10 发布
最新推荐文章于 2022-12-06 20:38:10 发布
阅读量651 收藏 4
点赞数 3
分类专栏: 网络安全架构与部署 文章标签: 局域网 交换机 网络 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40644809/article/details/105241732
版权
本文详细介绍了交换安全中的VLAN、MAC、DHCP、ARP和IP安全,包括各种攻击类型及防御措施。例如,通过修改默认VLAN、启用端口安全限制MAC地址、配置DHCP侦听和IP源防护来增强局域网的安全性。同时,提出了结合使用这些策略以提高网络防御能力。
摘要由CSDN通过智能技术生成

交换安全之协议安全

局域网安全老三样(DHCP、ARP、IP安全)配合端口安全是常见的安全策略。
思科的《局域网安全2008》讲述了局域网安全攻防的一些例子,有兴趣可以去翻阅一下。

VLAN安全

vlan 跳跃攻击
在这里插入图片描述
1、交换机默认情况从 access 口收到的包为不打标签的包,一般交换机若从接入口收到标签包则丢弃;
2、特殊情况下,若接入口的标签为 native vlan 的标签,则交换机去掉此标签,并转发到 trunk。

黑客根据以上特性进行二层标签(外层标签为 native vlan,内层标签为攻击目标)包封装并夹带病毒等进行攻击。

解决方案:
1、修改默认 native vlan;
2、关闭特殊解包环境,不转发从接入口过来的标签数据.

MAC安全

一般情况下,部署端口安全后,若电脑发生变动且最初 MAC1 变为 MAC2,该端口将不能再被使用。
交换机也有 MAC 地址,每一个接口都有,并且 CPU 也具有多个 MAC 地址,用于三层通信或内部处理。

interface Ethernet0/2
switchport access vlan 10
switchport mode access
switchport port-security //开启端口安全
switchport port-securi

最低0.47元/天 解锁文章
Goallegoal
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
实战干货网络综合实验配置看了秒会(OSPF、RIPDHCP、NAT、vlan划分、IP地址规划、路由重分发、服务器、动态路由下发默认)华为(ensp)
wulimingde的博客
07-21 3213
网络综合实验配置一、实验目的和环境二、实验规划拓扑图三、实验设备配置LSW1的配置LSW2 的配置LSW7 的配置R1 的配置R2 的配置R3 的配置R4 的配置R5 的配置PC端的配置注:看不懂的可以看其他博客有详细文字配置解析四、实验结果测试 一、实验目的和环境 通过对实验模拟设备的配置,熟练掌握华为网络设备的配置命令,熟悉设备的功能,使模拟网络通畅。华为(ensp)模拟器 二、实验规划拓扑图 三、实验设备配置 LSW1的配置 sysname LSW1 vlan batch 11 12 1000 1
VLAN工作机制与举例
RonaldDong的博客
12-15 2700
《路由协议交换技术》重点知识:VLAN工作机制
安全的数据交换协议
EDI电子数据交换 | 知行软件
04-21 261
通过对传输协议进行比较,可以在企业内部以及企业间安全交换和集成业务系统数据。 安全数据传输协议的注意事项 跨数字生态系统交换信息需要各方使用相同的数据传输语言。您的组织可以支持哪些语言呢? 在信息技术中,协议通过概述、规范企业之间数据交换的标准程序来实现文件传输。协议指定了通信实体之间的交互,它们通常可以由行业或其他标准规定。 随着您的交易伙伴和客户网络的增长,托管文件传输协议的灵活性变得越来越重要。不断发展的协议的核心是提高数据传输过程中的安全性,传输协议安全性的功能元素包括私密性、身份验证、完整性和不
開啓Cisco交換機DHCP Snooping功能(1)
IT经验分享
06-23 714
一、采用DHCP服务的常见问题 架设DHCP服务器可以为客户端自动分配IP地址、掩码、默认网关、DNS服务器等网络参数,简化了 网络配置,提高了管理效率。但在DHCP服务的管理上存在一些问题,常见的有: ●DHCP Server的冒充 ●DHCP Server的DOS攻击,如DHCP耗竭攻击 ●某些用户随便指定IP地址,造成IP地址冲突 1、DHCP Server的冒充 由于DH
VLAN安全
weixin_33912453的博客
01-23 816
独立的安全调研公司 @stake [9] 最近对 Cisco Catalyst 2950 、 Catalyst 3550 、 Catalyst 4500 和 Catalyst 6500 系列交换机上采用的虚拟 LAN ( VLAN )技术进行了一次安全检查 [1] 。虽然此次检查没有暴露出严重的安全漏洞,但必须指出的是,如果交换机的配置不正确或不适当,则很有可能引发意外行为或...
交换网络二层安全交换网络安全
01-06
防范措施包括静态绑定IPMAC地址,以及使用DHCP Snooping和DAI(Dynamic ARP Inspection)来确保ARP请求和响应的合法性。 3. **DHCP欺骗攻击**:攻击者冒充DHCP服务器,向网络中的设备提供错误的IP配置信息。防止...
05 以太网交换安全.pptx
最新发布
01-25
本资源将主要介绍常见的以太网交换安全技术,包括端口隔离、端口安全MAC地址漂移检测、风暴控制、端口限速、MAC地址表安全DHCP Snooping及IP Source Guard等常见技术,以提高对以太网交换安全的理解和认识。...
用三层交换安全策略预防病毒.doc
11-15
在探讨如何运用三层交换安全策略来预防病毒之前,我们首先需要了解什么是三层交换技术以及它在网络安全中的作用。三层交换技术结合了二层交换的速度优势与三层路由的选择灵活性,为网络提供了更高效的数据包转发机制...
H3C S1600系列安全智能交换机彩页
02-19
5. **四元素绑定:** 结合IPMAC地址、端口和VLAN进行绑定,进一步提升网络访问控制的精确度和安全性。 6. **防ARP欺骗:** 通过ARP表项的动态管理,防止中间人攻击,保障数据传输的真实性和完整性。 7. **ACL与...
Switch面临的安全问题
09-22
3. **欺骗攻击**:包括ARP欺骗和DHCP欺骗,前者篡改ARP表,误导数据包流向,后者则伪造DHCP服务器,提供错误的IP配置,窃取信息或中断服务。 4. **基于交换机设备的攻击**:攻击者可能通过未授权的物理访问、远程...
交换机端口安全技术 】
weixin_45610929的博客
07-31 1638
端口安全
网络安全学习--VLAN
丢爸
12-12 1694
VLAN(Virtual LAN)虚拟局域网
ARP欺骗泛洪攻击的防御——DAI动态ARP监控技术
qq_62311779的博客
08-19 1735
一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 三、扩展:自动打开err-disable接口方法:
思科华为交换设备安全配置命令对比
Tony_long7483的博客
12-06 1193
思科华为交换设备安全配置命令对比
动态ARP检测原理及应用
正月十六工作室
06-25 8537
动态ARP检测原理及应用 在一个局域网中,网络安全可以通过多种方式来实现,而采取DHCP snooping(DHCP防护)及DAI检测(ARP防护)这种技术,保护接入交换机的每个端口,可以让网络安全,更稳定,尽可能的减小中毒范围,不因病毒或木马导致全网的瘫痪。 下面将详细的对这种技术的原理和应用做出解释。 一、 相关原理及作用 1、 DHCP snooping原理 DHCP Snooping技术是DHCP安全特性,通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息,这些信息是指来
交换安全】DAI - Dynamic ARP Inspection 详解
cisco_eigrp的博客
07-29 1023
一、ARP协议原理 1.协议概述 Address Resolution Protocol在以太网环境中,节点之间互相通信,需知晓对方的MAC地址在现实环境中,一般采用IP地址标示通信的对象,而ARP的功能就是将IP“解析”到对应的MAC地址。 2.协议漏洞 基于广播,不可靠ARP响应报文无需请求即可直接发送,这给攻击者留下巨大漏洞没有确认
ARP的欺骗泛洪攻击的防御——DAI动态ARP监控技术、
qq_62311779的博客
01-31 4022
目录 一、DAI动态ARP监控技术(具备DHCP SNOOPING环境下): 二、非DHCP SNOOPING环境下: 扩展:自动打开err-disable接口方法: arp欺骗详细过程前往一下连接: (36条消息) MAC地址的欺骗和泛洪攻击、arp欺骗和泛洪攻击、如何防御、思科交换机端口安全技术配置命令、不能启用端口安全特殊案列讲解(附图,建议PC查看)_孤城286的博客-CSDN博客 DHCP snooping技术及DHCP欺骗攻击,前往: (36条消息) DHCP欺骗泛洪攻击、如何防御
小白进阶之路—ARP协议
qq_41851322的博客
07-23 365
ARP:地址解析协议ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议,由互联网工程任务组(IETF)在1982年11月发布的RFC 826中描述制定。 1、主要工作流程为:主机发送信息时将包含目标IP地址的ARP请求广播到网络上的所有主机,并接收返回消息,以此确定目标的mac地址;收到返回消息后将目标mac地址存入本机mac地址...
15-动态ARP检测:DAI //IOU设备模拟
weixin_33700350的博客
07-06 213
一、实验拓扑:二、实验要求:要想启用动态ARP检测,前提是启用了DHCP Snooping,DHCP检测完以后回产生一个数据库;比如连接电脑的一个端口启用2种检测后,有VLAN ID、0/1接口、MAC地址的映射,此时再该接口收到一股报文,接口的源MAC地址和之前绑定的信息不相同,就会丢弃该报文。这叫非信任接口,它一定要检测源MAC地址,其实不仅仅检测MAC地址,还要检测IP地址。三、命令部署:1...
Dynamic ARP Inspection(DAI)工作原理及测试
weixin_33841722的博客
05-25 720
一.工作原理:A.根据DHCP Snooping或手工方式形成的MAC地址与IP地址绑定表,来确定网络中的非法接入的MAC地址B.同时为了防止恶意ARP欺骗,还可以对接口的arp请求包进行限速---测试发现,对于非信任口的arp请求和回复(包括无理arp)都会被丢弃,因此觉得在非信任端口做限速没有多大必要(没有手工修改DHCP绑定表,或用arp access-list做排除的情况)参考链接:htt...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值