交换安全

Mac地址***（针对交换机）

1. 端口安全（基于Mac地址允许）
   端口安全：在接口上设置接受MAC地址数量以及合法MAC地址
   惩罚动作：（1）shutdown（2）protect（忽略未授权的MAC）（3）restricted（发警告）
2. 针对某个Mac地址进行过滤（基于Mac地址过滤）
   开端口安全
   sw1(config-if)#switchport port-security
   端口隔离
   Switchport protect（无线环境应用较多，公共联网环境比较广泛）
   粘滞安全MAC地址
   sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
   配置交换机接口自动粘滞MAC地址
   sw1(config-if)#switchport port-security mac-address sticky
   惩罚
   switchport port-security violation ？
   允许交换机自动恢复因端口安全而关闭的端口
   sw1(config)#errdisable recovery cause psecure-violation
   配置交换机120s后自动恢复端口
   sw1(config)#errdisable recovery interval 120

DHCP欺骗***

防止***者模拟DHCP server发送的错误的DHCP信息解决方案：DHCP snooping在交换机上定义信任和非信任接口（默认都为非信任接口）首先开启DHCP snooping（注意保存表到不易丢失存储）sw1(config)#ip dhcp snooping vlan ?添加信任接口sw1(config-if)#ip dhcp snooping trust在dhcp server 上开启dhcp中继的信任（进入该vlan）sw1(config-if)#ip dhcp relay information trusted当从非信任接口收到请求信息则插入option 82 上行交换机如果收到含有82的请求Cisco默认丢弃有82的数据（高版本取消丢弃功能）检查dhcp包的mac和二层的mac是否一致: sw1(config)#ip dhcp snooping verify mac-address查看：show ip dhcp snooping binding（含有 MAC IP 接口 vlan）在客户端设备和DHCP服务器不在同一广播域内的时候，中间设备即路由器(路由功能的设备)在三层交换机指定vlan上输入ip helper-address ？指向含有DHCP pool 的路由器接口的地址ARP中间人***（针对pc机***）解决方法：（1）DAI技术（在snooping的基础上，查看binding表与发出的不符则shutdown）可以针对特定vlanip arp inspection vlan ？（2） 如果没有binding表则sw1(config)#ip arp inspection validatie 源mac 目的mac 源ip

IP欺骗

解决方案：IPSG技术(基于dhcp snooping ) 在接口下：ip verify source port-security手工添加：sw #ip source binding MAC VLAN ip地址 接口

硬件***

自然灾害，硬件损坏解决方案：干燥恒温，定期检查

优化机制

（1）在启用了端口安全接口上关闭未知单播组播洪泛sw1(config-if)# switchport block ？（端口锁定比如打印机）（2）针对广播报文上述方法无法抑制使用风暴控制，从而限制广播报文的发送，超过阈值，开始惩罚（设置两个阈值超过高得阈值停止发送低于低的继续发送）风暴抑制sw1(config-if)# storm-control broadcast level 20 10惩罚：sw1(config-if)# storm-control action ？（shutdown，trap将超过的丢弃）

在项目配置完结后关闭CDP协商

no cdp run