接入层采用端口安全来控制网络访问

分布层使用访问列表来提供安全性

核心层不采用安全策略

服务器集群认证服务器、IPS、防火墙、Pvlan、访问控制列表

二层的***方式

MAC层的***

MAC地址泛洪(消耗交换机的mac地址表,阻止正常主机数据流量)

缓解方法:端口安全策略(MAC地址绑定、限制MAC地址数量)

          基于MAC地址的访问控制列表(VACL

VLAN***

VLAN跳转(①通过DTP的自动协商功能利用trunk来发送和接收非法带有vlanID的流量②双层vlan标签实现vlan的跳转***)

缓解方法:对于不使用的端口关闭自动协商,把使用的端口划分到单独的一个vlan中,关闭不使用的端口

欺骗***:

DHCP资源耗竭和DHCP欺骗(***设备消耗完DHCP地址池内地址资源,或者是欺骗主机自己伪装为DHCP服务器做出应答)

缓解方法:使用DHCP侦听将交换机端口划为可信端口和不可信端口,可信端口可以发起所有dhcp消息,不可信端口只能发起DHCP请求,如果不可信端口发送DHCP应答将关闭该端口,此外不可信端口还可以限制发送DHCP请求的频率。

 

生成树欺骗(***者伪装成STP跟桥截获所有数据帧流量)

缓解方法:手动指定根网桥和备份根网桥,开启Root Guard

 

MAC地址欺骗(欺骗交换机伪装成CAM表中正常的MAC地址将本该发往正常的主机的流量截获)

缓解方法:使用DHCP侦听利用对不可信端口的DHCP绑定表来识别***主机

          限制端口的mac地址数量,指定某些MAC地址允许使用该接口

 

ARP欺骗(欺骗合法主机,通过伪造设备的ARP应答来向合法主机接收和发送数据帧)

缓解方法:动态ARP检测 动态ARP会检测不可信端口上的ARP请求和应答,通过将截获的数据包和合法的IPMAC绑定表进行对比,这个映射表是通过DHCP侦听学习到的,如果发现非法ARP数据则丢弃该端口的ARP数据包。

 

交换机设备的***

CDP修改(由于CDP发送的是明文信息且未加密,***者截获CDP消息会获悉到网络拓扑信息)

缓解方法:在不必要的端口上关闭CDP 全局下no cdp run

SSHtelnet*** telnet发送的数据包是以明文方式查看的,ssh可以对数据包进行保护,ssh版本1中仍然存在安全问题。

缓解方法:采用ssh2版本,telnet结合VTY acl访问控制使用

 

利用IP源防护结合mac地址来控制接入层的网络安全

园区网设备可以通过架设AAA服务器来做好设备的访问控制