交換機(jī)安全概述

***分類

***方法

***描述

抵御措施

MAC層***

MAC地址泛洪

具有唯一且無效源MAC地址的數(shù)據(jù)幀向交換機(jī)泛洪，消耗完交換機(jī)的CAM表空間，從而阻止合法主機(jī)的MAC地址生成新條目，去往無效主機(jī)的流量會(huì)向所有端口泛洪

端口安全

MAC地址VLAN訪問控制列表

VLAN***

VLAN跳轉(zhuǎn)

通過改變Trunk鏈路中封裝的數(shù)據(jù)包的VLAN ID，***設(shè)備可以發(fā)送或接收不同VLAN中的數(shù)據(jù)包，而繞過三層安全機(jī)制

加強(qiáng)Trunk的配置和未使用端口的協(xié)商狀態(tài)。

把未使用的端口放入公共VLAN

公共VLAN設(shè)備

之間的***

即使是公共VLAN中的設(shè)備，也需要逐一進(jìn)行保護(hù)，尤其是在為多個(gè)客戶提供設(shè)備的服務(wù)提供商網(wǎng)段中

實(shí)施私有VLAN（PVLAN）

欺騙***

DHCP耗竭和

DHCP欺騙

***設(shè)備可以在一段時(shí)間內(nèi)，消耗完DHCP服務(wù)器上的可用地址空間，或者在中間人***中，把自己偽裝成DHCP服務(wù)器

DHCP偵聽

生成樹欺騙

***設(shè)備偽裝成STP拓?fù)渲械母W(wǎng)橋。若成功了，***者就可以看到各種數(shù)據(jù)幀

主動(dòng)配置主用和備用根設(shè)備

啟用根防護(hù)

MAC欺騙

***設(shè)備偽裝成當(dāng)前CAM表中合法設(shè)備的MAC地址，這樣交換機(jī)就會(huì)把去往合法設(shè)備的數(shù)據(jù)幀發(fā)到***設(shè)備上。

DHCP偵聽

端口安全

ARP欺騙

***設(shè)備故意為合法主機(jī)偽造ARP應(yīng)答。***設(shè)備的MAC地址就會(huì)成為該合法網(wǎng)絡(luò)設(shè)備所發(fā)出的數(shù)據(jù)幀的二層目的地址。

動(dòng)態(tài)ARP檢測(cè)

DHCP偵聽

端口安全

交換機(jī)設(shè)備安全

CDP修改

通過CDP發(fā)送的信息是明文形式且未加密，若***者截獲CDP消息，就可以獲得整個(gè)網(wǎng)絡(luò)拓?fù)湫畔?/span>

在所有無意使用的端口上禁用CDP

SSH和

Telnet***

Telnet數(shù)據(jù)包可以以明文形式查看

SSH可以對(duì)數(shù)據(jù)包進(jìn)行保護(hù)，但版本1中仍存在安全問題

使用SSH版本2

使用Telnet結(jié)合VTY ACL