二層交換安全處理方法:
1.維護乙個合法的埠與mac對應關係 一對一**
port-security 通過介面的第乙個mac,為要繫結的
maximum 後加最大mac數
若超過最大數 懲罰
一對一繫結公升級:粘滯安全mac位址 進入介面後自動繫結(應對網路龐大)
switchport protected 介面隔離 公共場所,均需隔離(即使同網段也不通訊,只能與閘道器通)
dtp1.vlan跳轉攻擊
修補漏洞
2.本徵vlan(過幹道不貼標籤)會被跳轉攻擊
介面處理資料方法:
1)資料無vlan標記:放過資料,通過後,打上該介面標記
2)資料有vlan標記,且與介面vlan標記相同:撕掉標記,放行
3)資料有vlan標記,且與介面vlan標記不相同:丟棄
封堵本徵vlan攻擊:
技術上:過幹道時,強行貼標籤
vlan tag native dot1q
管理上:
1.pc不能被劃入本徵vlan
2.本徵vlan重新設定
3.把不用的介面關閉
4.把不用的介面劃在特殊vlan
3.arp攻擊 偽造mac位址,再**
4.ip位址欺騙 修改自己ip
對於攻擊的防禦:
一、dhcp防禦:
1.交換機監測 dhcp包,識別包中字段 監測非dhcp介面,是否有offer包發出
ip dhcp snooping vlan 100
int e0/0
ip dhcp snooping trusted
ip dhcp snooping limit rate 100 防止–拒絕式服務攻擊,每秒最大100個包
2.防止dhcp飢餓(耗盡攻擊):
檢測chaddr
1)二層幀 source mac和chaddr 的mac一致
埠保護即可防禦
2)二層幀 source mac不變,而chaddr 的mac變化
ip dhcp snooping verify mac-address
檢查chaddr 中mac與二層幀mac是否相同,不同則丟棄
注: dhcp snooping的繫結表中有
介面獲取的 ip mac vlan 租期
把繫結表儲存 ip dhcp snooping database flash: xx.txt
1.跨交換機,幹道兩端都要為信任口,否則會收到帶82的資料報,非信任丟包
2.讓一端為不信任 no ip dhcp snooping information option 不插入option 82
3.中繼時,不能關82 ,在介面上寫 ip dhcp relay information trust 允許82為0的通過
二、arp欺騙防禦:
找正確的繫結表 dhcp snooping
dai技術 看arp包中ip 與mac對應是否合法
三、ip位址欺騙防禦
在特定介面查snooping 表
int f0/2
ip verify source port-security //在本介面啟用ipsg功能
無snooping錶可查時
ip source binding 0023. 04e5.b221 vlan 1 172.16.1.3 int f0/3 //手工寫入
埠阻塞:只阻塞組播,未知單播 保護伺服器端口或某個重要埠
風暴控制:抑制**這些風暴包的介面
生成樹的一些特性:
1.portfast
spanning-tree portfast default
若介面生成bpdu,退出
2.bpduguard 懲罰
介面下啟用,若接收到bpdu,則關閉介面
3.bpdufilter 過濾
4.rootguart 阻止搶根的bpdu訊息 在生成樹收斂完成敲 只能作用於介面
交換機在介面處判斷優先順序
一般在不信任的口做(可以是幹道)
5.loopguard 一般用在阻塞埠,防止單向鏈路問題而引發的環路 常見於光纖
光纖一條斷,形成環路
6.udld 單向鏈路檢測
強制讓對方回包,不回包,則全部掛掉
登入安全:
mac address-table aging-time //調整mac老化時間
1.mac表存滿 調小
2.未知單播幀過多 調大
二層交換機
二層交換機 layer 2 switches 是指只支援osi第二層 資料鏈路層 交換技術的交換機,二層交換技術發展比較成熟,二層交換機屬資料鏈路層裝置,可以識別資料報中的 mac位址 外文名layer 2 switches 領 域網路 中文名二層交換機 功 能決定最優路由和 資料報 協 議路由協議...
二層交換hybrid介面
實驗實施 hybrid介面 在連線pc1的埠設定hybrid介面 sw 1 int gigabitethernet 0 0 1 sw 1 gigabitethernet0 0 1 port link type hybrid sw 1 gigabitethernet0 0 1 port hybrid ...
二層交換 路由和三層交換
為了適應網路應用深化帶來的挑戰,網路的規模的速度都在快速發展,區域網速度已經從早期的10m 100m發展到現在的千兆甚至萬兆,現在的網路結構也早已從早期的共享介質發展到交換式區域網。在目前網路整合和交換的技術中,第一層介面和第二層交換已經可以給出滿意的答案,但是作為網路核心 起到網間互聯作用的路由器...