交换安全

交换安全

交换安全

Mac地址攻击（针对交换机）

端口安全（基于Mac地址允许）端口安全：在接口上设置接受MAC地址数量以及合法MAC地址惩罚动作：（1）shutdown（2）protect（忽略未授权的MAC）（3）restricted（发警告） 针对某个Mac地址进行过滤（基于Mac地址过滤）开端口安全 sw1(config-if)#switchport port-security端口隔离Switchport protect（无线环境应用较多，公共联网环境比较广泛）粘滞安全MAC地址sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611配置交换机接口自动粘滞MAC地址sw1(config-if)#switchport port-security mac-address sticky惩罚switchport port-security violation ？允许交换机自动恢复因端口安全而关闭的端口sw1(config)#errdisable recovery cause psecure-violation配置交换机120s后自动恢复端口sw1(config)#errdisable recovery interval 120

DHCP欺骗攻击防止攻击者模拟DHCP server发送的错误的DHCP信息解决方案：DHCP snooping在交换机上定义信任和非信任接口（默认都为非信任接口）首先开启DHCP snooping（注意保存表到不易丢失存储）sw1(config)#ip dhcp snooping vlan ?添加信任接口sw1(config-if)#ip dhcp snooping trust在dhcp server 上开启dhcp中继的信任（进入该vlan）sw1(config-if)#ip dhcp relay information trusted当从非信任接口收到请求信息则插入option 82 上行交换机如果收到含有82的请求Cisco默认丢弃有82的数据（高版本取消丢弃功能）检查dhcp包的mac和二层的mac是否一致: sw1(config)#ip dhcp snooping verify mac-address查看：show ip dhcp snooping binding（含有 MAC IP 接口 vlan）在客户端设备和DHCP服务器不在同一广播域内的时候，中间设备即路由器(路由功能的设备)在三层交换机指定vlan上输入ip helper-address ？指向含有DHCP pool 的路由器接口的地址ARP中间人攻击（针对pc机攻击）解决方法：（1）DAI技术（在snooping的基础上，查看binding表与发出的不符则shutdown）可以针对特定vlanip arp inspection vlan ？（2） 如果没有binding表则sw1(config)#ip arp inspection validatie 源mac 目的mac 源ip

IP欺骗解决方案：IPSG技术(基于dhcp snooping ) 在接口下：ip verify source port-security手工添加：sw #ip source binding MAC VLAN ip地址 接口

硬件攻击自然灾害，硬件损坏解决方案：干燥恒温，定期检查

优化机制（1）在启用了端口安全接口上关闭未知单播组播洪泛sw1(config-if)# switchport block ？（端口锁定比如打印机）（2）针对广播报文上述方法无法抑制使用风暴控制，从而限制广播报文的发送，超过阈值，开始惩罚（设置两个阈值超过高得阈值停止发送低于低的继续发送）风暴抑制sw1(config-if)# storm-control broadcast level 20 10惩罚：sw1(config-if)# storm-control action ？（shutdown，trap将超过的丢弃）

在项目配置完结后关闭CDP协商no cdp run

版权声明：本文内容由网络用户投稿，版权归原作者所有，本站不拥有其著作权，亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容，请联系我们jiasou666@gmail.com 处理，核实后本网站将在24小时内删除侵权内容。