接入层采用端口安全来控制网络访问
分布层使用访问列表来提供安全性
核心层不采用安全策略
服务器集群认证服务器、IPS、防火墙、Pvlan、访问控制列表
二层的***方式
MAC层的***:
MAC地址泛洪(消耗交换机的mac地址表,阻止正常主机数据流量)
缓解方法:端口安全策略(MAC地址绑定、限制MAC地址数量)
基于MAC地址的访问控制列表(VACL)
VLAN***:
VLAN跳转(①通过DTP的自动协商功能利用trunk来发送和接收非法带有vlanID的流量②双层vlan标签实现vlan的跳转***)
缓解方法:对于不使用的端口关闭自动协商,把使用的端口划分到单独的一个vlan中,关闭不使用的端口
欺骗***:
DHCP资源耗竭和DHCP欺骗(***设备消耗完DHCP地址池内地址资源,或者是欺骗主机自己伪装为DHCP服务器做出应答)
缓解方法:使用DHCP侦听将交换机端口划为可信端口和不可信端口,可信端口可以发起所有dhcp消息,不可信端口只能发起DHCP请求,如果不可信端口发送DHCP应答将关闭该端口,此外不可信端口还可以限制发送DHCP请求的频率。
生成树欺骗(***者伪装成STP跟桥截获所有数据帧流量)
缓解方法:手动指定根网桥和备份根网桥,开启Root Guard
MAC地址欺骗(欺骗交换机伪装成CAM表中正常的MAC地址将本该发往正常的主机的流量截获)
缓解方法:使用DHCP侦听利用对不可信端口的DHCP绑定表来识别***主机
限制端口的mac地址数量,指定某些MAC地址允许使用该接口
ARP欺骗(欺骗合法主机,通过伪造设备的ARP应答来向合法主机接收和发送数据帧)
缓解方法:动态ARP检测 动态ARP会检测不可信端口上的ARP请求和应答,通过将截获的数据包和合法的IP与MAC绑定表进行对比,这个映射表是通过DHCP侦听学习到的,如果发现非法ARP数据则丢弃该端口的ARP数据包。
交换机设备的***
CDP修改(由于CDP发送的是明文信息且未加密,***者截获CDP消息会获悉到网络拓扑信息)
缓解方法:在不必要的端口上关闭CDP 全局下no cdp run
SSH和telnet*** telnet发送的数据包是以明文方式查看的,ssh可以对数据包进行保护,ssh版本1中仍然存在安全问题。
缓解方法:采用ssh2版本,telnet结合VTY acl访问控制使用
利用IP源防护结合mac地址来控制接入层的网络安全
园区网设备可以通过架设AAA服务器来做好设备的访问控制
转载于:https://blog.51cto.com/zgl4242/657661