|
1、首先二层交换机的第一个安全特性是一个叫端口安全的特性,是交换机特有的,可以防止mac表的泛洪攻击。我用模拟器模拟一个2960交换机,再模拟两台PC连接到1口和2口,把1口和2口划分到一个vlan2中。
2、给PC配置IP地址(在一个网段中),ping测试能通,然后在1口和2口上都起了端口安全,默认的端口安全的最大MAC数位1,也就是这个时候端口只能学习到一个mac地址了,如果再有个一mac地址进入,端口会down的。我使用模拟器修改pc1的mac地址,然后再次pingpc2观察,发现端口2马上就down掉了。这个实验就成功了。
3、如果要启用down了的端口,需要先取消端口安全的命令,然后进入端口模式sh再no shut就可以了。当然还有一些高级的功能,修改出现问题的处理方法,修改获取mac的方式。
4、二层交换机网络的第二个安全特性特性是防止DHCP的攻击,因为DHCP没有任何认证,纯粹就是先到先得的机制http://www.luyouqiwang.com/13820/ 所以如果黑客使用一个快速的PC,完全可以配置成DHCP来攻击正常的DHCP服务器。可以在交换机端口上开启保护功能。
5、首先是配置一个环境,还是上面的图,就是把PC换成路由器,在R1上启用DHCP功能,在PC2上使用DHCP客户端,让它自动获取地址,首先当然是能获取到地址的。
6、之后在交换机上做操作,让f0/1口关闭DHCP的发送功能,这样f0/1就只有DHCP Client的能力了,不可能当DHCP服务器了,自然也就低于了攻击了。
7、然后no掉刚才的配置,再配置只能在f0/1口用DHCP服务器,看看PC2能不能获得IP地址。然后看DHCP的表。
8、有两个安全特性比较难,放到后面在做:一个是vlan内部的访问控制列表;一个是pvlan技术。
9、有一个二层端口安全技术,比较简单,就是限制二层交换机内部的两台设备访问,如果在现实生活中交换机中的两台设备根本没有业务往来,他们连接交换机的目的就是为了和网关和服务器连接,那么他们的接口之间完全可以设置二层隔离技术。switchport protected 只有双向都敲了才能起到作用。 | 
