二層安全

 二層***類型：

 

 

1、MAC layer attacks  

   撐滿MAC地址表

   MAC地址欺騙--將自已的MAC地址僞裝成網絡上一臺主機的MAC地址，這樣就可以收到發向這個MAC地址的數據

 

解決方法：端口安全

SW(config-if)#switchport port-security 開啓端口安全,默認只允許學習到一個MAC地址

SW(config-if)#switchport port-security maximum 2  設置可以允許學到兩個MAC地址

SW(config-if)#switchport port-security aging time 1 （分鐘）設定多長時間後能重新學習MAC地址，也就是設定現有MAC地址的有效期。

SW(config-if)#switchport security-port violation [protect|restrict|shutdown] 設定處理措施

protect   丟棄非法幀  

restrict  丟棄非法幀，併發送log信息

shutdown  接口變爲err-disable

 

SW(config-if)#switchport port-security mac-address 2222.2222.2222   靜態綁定一個MAC地址

SW(config-if)#switchport port-security mac-address sticky 開啓這一命令後，sh run時，可以看到接口學習到的MAC地址

SW(config-if)#switchport port-security aging time static 2 (分鐘) 正常情況下，靜態配置的MAC地址老化時間是無限期的，通過這一命令，也可以爲靜態MAC地址設定一個老化時間

 

如果有一個非法的MAC地址接入，接口會進入err-disable狀態

SW(config)#errdisable recovery cause psecure-violation   如果因爲端口安全使一個端口進入err-disable狀態，用這一命令讓它自動恢復，默認300S後自動恢復。

SW(config)#errdisable recovery interval 30   手動設定30S後恢復

 

show port-security   查看哪些端口配置了端口安全

show port-security address 

show mac-dynamic  查看動態學習到了哪些MAC地址

clear mac-address-table

 

2、VLAN attacks               VLAN***

VLAN hopping （VLAN跳躍）

解決方法：

1、把所有連接主機的端口都配置爲access端口

2、做二層的ACL

   一、設置你要在哪一個VLAN上過濾

       SW（config）#vlan filer VLAN-F vlan-list 1 (VLAN號)

 

   二、設置VLAN access-map   設置滿足條件的轉發或者drop

       SW（config）#vlan access-map VLAN-F 10

                      match ip address 101

                      action drop

 

                    vlan access-map VLAN-F 20

                      action forward

        access-map最後隱含的是drop操作。所以類似route-map，也要寫一條空map，允許其它流量通過。

 

   三、定義訪問列表

       access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

 

 

例：

vlan access-map DROP-VINES 10

 action drop

 match mac address VINES

vlan access-map DROP-VINES 20

 action forward

vlan filter DROP-VINES vlan-list 50

 

mac access-list extended VINES

 permit any any vines-ip

 

MAC地址訪問控制列表：

 

mac access-list extended AAA

 permit aaaa.bbbb.cccc 1234.1234.1234

 

 

3、Spoofing attacks

DHCP的starvation（餓死）

   通過一個主機不斷的變換MAC地址，將DHCP服務器上的地址用盡。

 

1、DHCP snooping  可以防止架設非法的DHCP

   通過將所有其它端口設置爲untrusted端口，不允許這種端口做DHCP的響應

 將真正接DHCP的端口設置爲trusted端口,允許可以做DHCP的響應

 

ip dhcp snooping 

ip dhcp snooping vlan 100

shwo dhcp snooping

int e0

  ip dhcp snooping trusted

  ip dhcp snooping limit rate 100   設定端口一秒鐘只能發送100個包，減緩DHCP的starvation

ing e1

  ip dhcp snooping untrusted

 

debug ip dhcp server packet    在DHCP服務器端調試

debug ip dhcp packet        在客戶端調試

 

2、ip source guard   另一種防止snooping***的方法

ip cef

int e0

  ip verify unicast reverse-path

  ip verify unicast reverse-path 1  這是一個訪問列表，訪問列表中定義的流量有特權，即使不合規則，也會轉發。

 

int e0

  ip verify source vlan dhcp-snooping port-security

 

3、dynamic arp inspection

也要利用到 dhcp snooping的表

 

 

4、Attacks on switch devices