交換安全
Mac地址***(針對交換機)
- 端口安全(基於Mac地址允許)
端口安全:在接口上設置接受MAC地址數量以及合法MAC地址
懲罰動作:(1)shutdown(2)protect(忽略未授權的MAC)(3)restricted(發警告) - 針對某個Mac地址進行過濾(基於Mac地址過濾)
開端口安全
sw1(config-if)#switchport port-security
端口隔離
Switchport protect(無線環境應用較多,公共聯網環境比較廣泛)
粘滯安全MAC地址
sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
配置交換機接口自動粘滯MAC地址
sw1(config-if)#switchport port-security mac-address sticky
懲罰
switchport port-security violation ?
允許交換機自動恢復因端口安全而關閉的端口
sw1(config)#errdisable recovery cause psecure-violation
配置交換機120s後自動恢復端口
sw1(config)#errdisable recovery interval 120
DHCP欺騙***
防止***者模擬DHCP server發送的錯誤的DHCP信息
解決方案:DHCP snooping在交換機上定義信任和非信任接口(默認都爲非信任接口)
首先開啓DHCP snooping(注意保存表到不易丟失存儲)
sw1(config)#ip dhcp snooping vlan ?
添加信任接口sw1(config-if)#ip dhcp snooping trust
在dhcp server 上開啓dhcp中繼的信任(進入該vlan)
sw1(config-if)#ip dhcp relay information trusted
當從非信任接口收到請求信息則插入option 82 上行交換機如果收到含有82的請求Cisco默認丟棄有82的數據(高版本取消丟棄功能)
檢查dhcp包的mac和二層的mac是否一致: sw1(config)#ip dhcp snooping verify mac-address
查看:show ip dhcp snooping binding(含有 MAC IP 接口 vlan)
在客戶端設備和DHCP服務器不在同一廣播域內的時候,中間設備即路由器(路由功能的設備)在三層交換機指定vlan上輸入ip helper-address ?指向含有DHCP pool 的路由器接口的地址
ARP中間人***(針對pc機***)
解決方法:(1)DAI技術(在snooping的基礎上,查看binding表與發出的不符則shutdown)可以針對特定vlan
ip arp inspection vlan ?
(2) 如果沒有binding表則sw1(config)#ip arp inspection validatie 源mac 目的mac 源ip
IP欺騙
解決方案:IPSG技術(基於dhcp snooping ) 在接口下:ip verify source port-security
手工添加:sw #ip source binding MAC VLAN ip地址 接口
硬件***
自然災害,硬件損壞
解決方案:乾燥恆溫,定期檢查
優化機制
(1)在啓用了端口安全接口上關閉未知單播組播洪泛
sw1(config-if)# switchport block ?(端口鎖定比如打印機)
(2)針對廣播報文上述方法無法抑制使用風暴控制,從而限制廣播報文的發送,超過閾值,開始懲罰(設置兩個閾值超過高得閾值停止發送低於低的繼續發送)
風暴抑制sw1(config-if)# storm-control broadcast level 20 10
懲罰:sw1(config-if)# storm-control action ?(shutdown,trap將超過的丟棄)
在項目配置完結後關閉CDP協商
no cdp run