交换安全

一.端口安全
MAC攻击：mac地址攻击protect 当计算机接入时，如果影响该端口的MAC条目超过最大数量，则这个新的计算机无法进入，而原有的计算机不受影响，交换机也不发送警告信息。
惩罚：Restrict当新的计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交换机警告。
Shutdown当新的计算机接入时，如果该端口的MAC条目超过最大数量，则该端口会被关闭，则这个新的计算机和原有的计算机都无法接入，这时需要原有的计算机并在交换机中的该端口下使用（shutdown）和（no shutdown）命令重新打开端口。
二.IP地址欺骗：端口堵塞：一般用于堵塞连接服务器的端口或某个重要端口。
风暴控制：当交换网络出现单播 组播 广播，可以一直转发这些风暴包的接口。
三.交换安全：stp
1.potfast不参与生成树的构建，收到bpdu退出Spanning-tree port fast default
2.Rootguard：防止管理员在加交换机时，将更优的bid的交换机加入，改变原有的ROOT。一般在信任接口
3.Loopguard：防止单项链路引发的环路问题，收敛完成后再使用此命令，一般用于阻塞端口。
4.bpdduguare：防止接入层设备在其他交换机俩影响STP的选举，access或trunk
5.bpddufiter：防止接入层是被在其他交换机来影响STP的选举，access或者trunk
四.WALN跳转攻击：接口带有VLAN标记数据
攻击方法：在流量上打特定的VLAN标签或者通过TRUNK协商发送
防御：PC不能化为native vlan
修改natvie vlan
将未使用的接口DOWN
关闭dtp
五.DHCP攻击：攻击者伪装成DHCP服务器为客户端下方IP
：攻击者不断请求IP回执，导致地址耗尽
1.二层帧source man和chaddr的mac一致，端口保护即可防御
2.二层source mac不随chaddr的mac变化
六.arp攻击：攻击通过发送虚假ARP包来抢占网关，从而获取用户流量和数据包。
解决办法：DAI动态arp检查 可以防止arp欺骗
限制arp包的发送
检查arp报文中的源MAC目标MAC源IP和DHCPpsnoop ing绑定的信息是否一致。