二层安全

 二层***类型：

 

 

1、MAC layer attacks  

   撑满MAC地址表

   MAC地址欺骗--将自已的MAC地址伪装成网络上一台主机的MAC地址，这样就可以收到发向这个MAC地址的数据

 

解决方法：端口安全

SW(config-if)#switchport port-security 开启端口安全,默认只允许学习到一个MAC地址

SW(config-if)#switchport port-security maximum 2  设置可以允许学到两个MAC地址

SW(config-if)#switchport port-security aging time 1 （分钟）设定多长时间后能重新学习MAC地址，也就是设定现有MAC地址的有效期。

SW(config-if)#switchport security-port violation [protect|restrict|shutdown] 设定处理措施

protect   丢弃非法帧  

restrict  丢弃非法帧，并发送log信息

shutdown  接口变为err-disable

 

SW(config-if)#switchport port-security mac-address 2222.2222.2222   静态绑定一个MAC地址

SW(config-if)#switchport port-security mac-address sticky 开启这一命令后，sh run时，可以看到接口学习到的MAC地址

SW(config-if)#switchport port-security aging time static 2 (分钟) 正常情况下，静态配置的MAC地址老化时间是无限期的，通过这一命令，也可以为静态MAC地址设定一个老化时间

 

如果有一个非法的MAC地址接入，接口会进入err-disable状态

SW(config)#errdisable recovery cause psecure-violation   如果因为端口安全使一个端口进入err-disable状态，用这一命令让它自动恢复，默认300S后自动恢复。

SW(config)#errdisable recovery interval 30   手动设定30S后恢复

 

show port-security   查看哪些端口配置了端口安全

show port-security address 

show mac-dynamic  查看动态学习到了哪些MAC地址

clear mac-address-table

 

2、VLAN attacks               VLAN***

VLAN hopping （VLAN跳跃）

解决方法：

1、把所有连接主机的端口都配置为access端口

2、做二层的ACL

   一、设置你要在哪一个VLAN上过滤

       SW（config）#vlan filer VLAN-F vlan-list 1 (VLAN号)

 

   二、设置VLAN access-map   设置满足条件的转发或者drop

       SW（config）#vlan access-map VLAN-F 10

                      match ip address 101

                      action drop

 

                    vlan access-map VLAN-F 20

                      action forward

        access-map最后隐含的是drop操作。所以类似route-map，也要写一条空map，允许其它流量通过。

 

   三、定义访问列表

       access-list 101 permit ip 10.1.1.0 0.0.0.255 10.2.2.0 0.0.0.255

 

 

例：

vlan access-map DROP-VINES 10

 action drop

 match mac address VINES

vlan access-map DROP-VINES 20

 action forward

vlan filter DROP-VINES vlan-list 50

 

mac access-list extended VINES

 permit any any vines-ip

 

MAC地址访问控制列表：

 

mac access-list extended AAA

 permit aaaa.bbbb.cccc 1234.1234.1234

 

 

3、Spoofing attacks

DHCP的starvation（饿死）

   通过一个主机不断的变换MAC地址，将DHCP服务器上的地址用尽。

 

1、DHCP snooping  可以防止架设非法的DHCP

   通过将所有其它端口设置为untrusted端口，不允许这种端口做DHCP的响应

 将真正接DHCP的端口设置为trusted端口,允许可以做DHCP的响应

 

ip dhcp snooping 

ip dhcp snooping vlan 100

shwo dhcp snooping

int e0

  ip dhcp snooping trusted

  ip dhcp snooping limit rate 100   设定端口一秒钟只能发送100个包，减缓DHCP的starvation

ing e1

  ip dhcp snooping untrusted

 

debug ip dhcp server packet    在DHCP服务器端调试

debug ip dhcp packet        在客户端调试

 

2、ip source guard   另一种防止snooping***的方法

ip cef

int e0

  ip verify unicast reverse-path

  ip verify unicast reverse-path 1  这是一个访问列表，访问列表中定义的流量有特权，即使不合规则，也会转发。

 

int e0

  ip verify source vlan dhcp-snooping port-security

 

3、dynamic arp inspection

也要利用到 dhcp snooping的表

 

 

4、Attacks on switch devices