思科交换安全.docxVIP

二层攻击方法可分为四大类：1、MAC layer attacks2、VLAN attacks3、spoof attacks4、attacks on switch devices一、MAC layer attacks攻击方法： 1、MAC地址flooding攻击 2、MAC地址的欺骗攻击解决方案： 1、基于源MAC地址允许流量：端口安全 2、基于源MAC地址限制流量：static CAM 3、阻止未知的单/组播帧 4、802.1x基于端口的认证二、VLAN attacks解决方案： 1、switch mode access 2、VACL 3、PVLAN三、spoof attacks 1、DHCP spoof 解决方案：DHCP snooping 2、IP spoof 解决方案：IP 源防护 3、ARP spoof 解决方案：1、静态绑定ARP条目 2、DAI四、attacks on switch devices 1、关闭不必要的服务，比如CDP 2、限制广播/组播流量 3、为交换机设置登录密码 4、使用SSH实现安全的登录＜端口安全＞·SW端口安全是2层特性，提供两个方面的保护： 1、可以限定一个接口所能学习的MAC地址数量 2、可以在一个接口静态绑定MAC地址1.基于主机MAC来允许流量　·可定义2个参数：授权的MAC地址/允许学习多少个MAC地址（默认＝1）　·违背端口安全，采取