二层交换安全

二层交换机安全
Mac洪泛攻击：给交换机发送垃圾mac地址，导致无法正确记录
Mac地址漂移：中间人攻击，二层出环
port-security

惩罚
1.protect：mac超过最大数量时，新计算机无法接入
2.restrict：mac超过最大数量时，新计算机无法接入，并发送警告信息
3.shutdown：端口关闭，新原计算机都无法接入，再开启需要手工关闭再打开
或errdisable recovery cause psecure-violation

粘滞安全MAC地址：端口与计算机绑定

switchport protected 端口隔离（隔离后只能和网关通信）

DTP
DTP协商容易遭到攻击，所有trunk协商都关闭
switchport nonegotiate

数据进入端口无vlan标记，则放行且打上接口标记
携带与接口不同标记，丢弃
携带接口同样的标记，撕掉标记且放行

vlan跳转攻击 vlan tag dot1q，把不用的接口放在同一vlan且关闭
防止vlan攻击：
1.pc不能被划入本征vlan
2.本征vlan移动
3.把不用的接口关闭
4.把不用的接口划入特殊vlan

仿冒攻击
合理式请求获得非法结果

DHCP耗尽攻击
查看chaddr（存储客户端mac地址）
1.二层帧soure macc和chaddr的mac一致
端口保护即可防御
2.二层帧soure mac不变而chaddr的mac改变
IP dhcp snooping verify mac-address//检测二层mac与chaddr mac是否一致，不一致则丢弃

DHCP snooping的绑定表
接口 获取的IP mac vlan 租期
DHCP snooping基本原理为交换机监听DHCP数据帧，对不信任的接口将拒绝接受DHCPoffer包

把绑定表存储 ip dhcp snooping database flash：xx.txt
show IP dhcp snooping binding
no IP dhcp snooping information option，可使sw不插入选项82
网关接口配置IP dhcp relay information trust

ARP欺骗
DAI：动态ARP检测
DAI基于DHCP snooping工作，监听IP地址和mac地址的绑定信息
将接口配置为信任接口：ip arp inspection trust
限制速率：IP arp inspection limit 10

IP地址欺骗
IPSG是一种基于IP/MAC的端口流量过滤技术
ip verify source port-security 在本接口开启IPSG功能
IP souce binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3
802.1x：端口和用户的绑定关系
AAA服务器

端口阻塞：使用端口阻塞可以阻塞正在转发的未知流量
当分组到达交换机时，减缓及在mac地址表中执行目的地mac查询，确定用哪个端口发出和转发分组
一般是用于保护服务器接口

风暴控制
当交换网络出现单播或组播或广播风暴时可以抑制这些风暴包的接口
在接口上开启风暴控制，设置风暴阀值，如果接口的流量超过阀值则开启惩罚措施

生成树
1.portfast
作用为加快收敛
2.bpdugard
接口下启用spanning-tree bpduguard enable
全局下启用spanning-tree porfast bpduguard default
3.bpdufilter
接口收到的bpdu会被过滤掉
4.rootguard
阻止抢根的bpdu消息
在不信任的接口下启用
5.loopguard
一般在阻塞端口，防止单向链路问题二引发的环路
6.UDLD
单向链路检测
接口下，接口两端启用