二层交换机|简单的二层交换安全

开启二层交换对QOS的识别
把没有优先级标记的流量在进入这个接口标记为cos
人工调整映射
查看默认映射
第一个和第二个阀值是可控的
交换安全
未知单播帧 ,组播/广播帧洪泛
端口安全 ——维护一个合法的端口与mac对应关系
静态安全mac地址

sw1(config)#int f0/1 sw1(config-if)#shutdown sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 1 sw1(config-if)#switchport port-security sw1(config-if)#switchport port-security maximum 1 sw1(config-if)#switchport port-security violation shutdown sw1(config-if)#no shutdown

惩罚
1、protect–当计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,而原有的计算机不受影响,交换机也不发送警告消息;
2、restrict–当计算机接入时,如果该端口的MAC条目超过最大数量,则这个新的计算机无法接入,并且交换机发送警告信息;
3、shudown–当计算机接入时,如果该端口的MAC条目超过最大数量,则端口会被关闭,则这个新的计算机和原有的计算机都无法接入网络,这时需要接入原有的计算机并在交换机中的该端口下使用“shutdown”和“no shutdown”命令重新打开接口。
占粘滞MAC地址。
sw1(config)#int f0/1 sw1(config-if)#shutdown sw1(config-if)#switchport mode access sw1(config-if)#switchport access vlan 1 sw1(config-if)#switchport port-security sw1(config-if)#switchport port-security maximum 1 sw1(config-if)#switchport port-security violation shutdown sw1(config-if)#switchport port-security mac-address stciky//配置交换机接口自动粘滞MAC地址 sw1(config-if)#no shutdown sw1(config)#errdisable recovery cause psecure-violation//允许交换机自动恢复因端口安全而被关闭的端口 sw1(config)#errdisable recovery interval 60//配置交换机60s后自动恢复端口

端口隔离switch port protected
DTP
vlan跳转攻击 ,# vlan tag native dot1q ,把交换机不用的接口划在一个不使用的vlan 并且关闭这些接口。
DTP协商容易遭受攻击,所以一般都是关闭的
sw1(config)#int f0/2 sw1(config-if)#switchport trunk encapsulation dot1q sw1(config-if)#switchport mode trunk sw1(config-if)#switchport' nonegotiate

【二层交换机|简单的二层交换安全】DHCP snooping
在局域网中,经常使用DHCP服务器为用户分配地址,由于DHCP客户端和服务器之间没有认机制,网络攻击的另一种方法是伪装有效的DHCP服务器发出响应。
vlan 1本征vlan
1、如果数据 进入access接口 放行打上相应的标记
带有dot1q 标记
2、发出的数据带有标记 撕掉这个封装然后放行.
1、管理上pc不能被划入本征vlan
2、本征vlan 移动
3、把不用的接口关闭
4、把不用的接口划入特殊vlan
可以在交换机上配置dhcp snooping防止攻击,DHCP snooping的基本原理是交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCP offer包
sw1(config)#ip dhcp snooping sw1(config)#ip dhcpsnoop vlan 10 sw1(config)#ip dhcp snooping verify mac-address//检测以太网帧的源MAC于dhcp请求chaddr字段是否一致,不一致丢弃 sw1(config-if)#int e0/0 sw1(config-if)#ip dhcp snooping trust sw1(config-if)#ip dhcp snooping limit rate 50//设定端口只能发送50个包,缓解DHCP的starvation

CHADDR存储该客户端的mac地址
dhcp耗尽攻击
1、二层帧source mac 和CHADDR的mac一致
端口保护即可防御
2、二层帧source mac不变而chaddr 的mac变化
dhcp snooping的绑定表
接口 获取的IP mac vlan 租期
把绑定表存储
sw1(config)#ip dhcp snooping database flash:xx.txt sw1(config)#no ip dhcp snooping information option//不插入option 82,做中继必须要插入dhcp snooping就不能关闭option 82

网关接口命令
sw1(config)#ip dhcp relay infbaoormationtrust//仅对路由器当前接口有效

ARP欺骗
发出错误的mac
DAI(dynamic ARP inspection)动态ARP检查
sw1(config)#ip arp inspection vlan1//在vlan1中启用DAI sw1(config)#ip arp inspectionvalidate src-mac dst-mac IP//检查arp (请求和响应)报文中的源mac地址、目的mac地址、源IP地址和DHCP snooping绑定的信息是否一致 sw1(config)#int f0/1 sw1(config-if)#ip arpinspectiontrust//配置本接口为信任接口 sw1(config-if)#intrange f0/11-12 sw1(config-if)#ip arp inspection limit none//取消ARP包的限制,默认15包/秒 sw1(config-if)#ip arpinspection limit 10

IP地址欺骗
默认时,ipsg不检查所有的接口数据包,因此ipsg只需要在不信任的接口上进行配置即可;
sw1(config)#int f0/2 sw1(config-if)#ip verify source port-security//在本接口启用IPSG功能 sw1(config)#int range f0/3-4 sw(config)#ip verify source port-security sw(config)#ip source binding abcd.efgh.abcd vlan1 xxxx.xxxx.xxxx.xxxx int f0/3

802.1x 和 AAA服务器 ISE LDAP
端口和用户的绑定关系
端口阻塞 :
给一些受保护的端口转发未知单播和组播流量
一般用来保护服务器接口或某个重要端口
风暴控制:
当交换网络出现单播/组播/广播风暴时可以抑制转发这些风暴包的接口
生成树
特性:
1、portfast
作用加快接口收敛 风险不参与生成树的构建,如果下联设备出现环路,生成树将无能为力
2、bpduguard
接口下启用,如果接口收到bpdu信息会立即进入err-disable
查看状态 show int f0/0
全局下启用,先启全局的portfast
3、bpdufilter
接口下启用,接口收到bpdu信息会被过滤 风险:接口丧失判断
4、rootguard 阻塞抢根的bpdu消息 收敛完成再用,别用在生成树建成的时候,一般用在不信任的接口
5、loopguard 一般用在阻塞端口,防止单向链路 引发的环路,在接口下配置
sw1(config)#spanning-treeguardloop

6、UDLD单向链路检测

    推荐阅读