CatOS(enable)>set port security 1/1 maximum 2

#限制1/1端口最多可能出現的2個MAC地址

CatOS(enable)>set port security 1/1 violation shudown|restriction

#當超過MAC地址數后是關閉接口還是丟棄后來的MAC幀

STP安全

STP(Spanning Tree Protocol，生成樹協(xié)議)是二層網絡中普遍運行的協(xié)議，主要目的避免網絡二層環(huán)路的存在。STP以根網橋(Root Bridge)為根，通過發(fā)送BPDU(Bridge Protocol Data Unit，網橋協(xié)議數據單元)來構建一個無環(huán)的樹形拓撲。由于STP缺乏信息的驗證機制，所以虛假的STP信息會造成嚴重的網絡安全問題。

如圖1所示，攻擊者接入兩臺交換機，并使用擁有更小Bridge ID的TCN BPDU宣告自己為根網橋。這樣生成樹拓撲發(fā)生變化，以攻擊者為根，所有的流量不再經過交換機之間的鏈路，而是經過攻擊者。這樣攻擊者便可以發(fā)動嗅探、會話劫持、中間人(Man In The Middle)等諸如此類的攻擊。

　　圖　1

Cisco交換機中的BPDU Guard特性可以很好地解決針對STP的攻擊。當端口上開BPDU Guard以后，交換機不接受從此接口上收到的BPDU。通?？梢栽赑ortFast端口上開啟BPDU Guard，因為PortFast端口大部分只連接主機終端，不會產生BPDU。當交換機從開啟BPDU Guard特性的端口上收到BPDU時，則會關閉該端口。

　　配置命令：

CatOS(enable)>set spantree porfast bpduguard enable       #在PortFast端口上開啟BPDU Guard特性

Root Guard特性使交換機不接受該端口上的根網橋BPDU宣告，防止攻擊者宣告自己為根網橋。但是，攻擊者通過精心選擇Bridge ID，還是可以把流量進行通信定向。所以使用BPDU Guard是防止針對STP攻擊的根本方法。

　　配置命令：

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根網橋BPDU宣告

CDP安全

攻擊者發(fā)動攻擊之前，往往會通過各種手段搜集攻擊目標的相關信息，以便發(fā)現安全漏洞。CDP(Cisco Discovery Protocol，思科發(fā)現協(xié)議)是Cisco網絡環(huán)境下用來在相鄰設備下交換設備相關信息的協(xié)議。這些信息包括設備的能力、運行IOS版本號等。攻擊者可能通過IOS版本號得知該版本安全漏洞，并針對漏洞進行攻擊。CDP在了解網絡狀況，進性故障排除時擁有一定作用，所以建議在連接終端用戶的端口上關閉CDP協(xié)議(如圖2所示)。如果有需要，可以徹底地關閉網絡中的CDP協(xié)議。

　　圖　2

　　配置命令：

Switch(config-if)#no cdp enable                       #在接口上停止運行CDP
Switch(config)#no cdp running                         #在設備上關閉CDP協(xié)議

VTP安全

VTP(VLAN Trunk Protocol,VLAN中繼協(xié)議)通過處于VTP Server模式的交換機發(fā)送VTP信息，達到在交換機之間共享VLAN數據庫的目的，從而減少VLAN配置工作量。如果攻擊者偽造VTP信息，刪除VTP域中的所有VLAN，則導致以前劃入VLAN的接口關閉，產生DoS攻擊。通過在VTP域中設置Password則可以有效防止VTP信息的偽造。Password可以在VTP信息加入MD5認證信息，使VTP信息偽造變得困難。

　　配置命令：

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     #設置VTP域的認證Password

VLAN安全

VLAN把網絡分割成為多個廣播域，使VLAN間的訪問要經過三層設備(路由器、三層交換機)，通過在三層設備上放置ACL就能達到很好的訪問安全性。但是通過使用特殊的方法仍然能夠達到VLAN跳轉，對VLAN安全產生極大的威脅。

VLAN跳轉利用了交換機默認不安全的配置。在交換機上，端口使用DTP(Dynamic Trunk Protocol)協(xié)議和對端口進行端口類型協(xié)商，決定端口處于Access還是Trunk狀態(tài)。如果一臺主機扮演交換機角色和交換機的端口協(xié)商成為Trunk，那么該主機將能夠訪問到所有的VLAN。解決基本VLAN跳轉方法是關閉DTP協(xié)商，或者把接入端口置為Access狀態(tài)。

配置命令：

CatOS(enable)>set trunk 1/1 off                         #關閉DTP協(xié)議
Switch(config-if)#switchport mode access                #把端口置于Access狀態(tài)

ARP安全

ARP(Address Resolution Protocol)是把IP地址映射為MAC地址的協(xié)議。因為ARP沒有IP所有權的概念，即MAC地址和IP地址是分離的，意味著一個MAC地址都可能扮演任意一個MAC地址。通過ARP欺騙，可以發(fā)動多種攻擊。

　　圖　3

如圖3所示，主機192.168.1.25發(fā)送偽造ARP信息，向路由器宣告192.168.1.34的MAC地址為11-22-33-44-55-66，造成路由器ARP表錯誤，這樣路由器到192.168.1.34的信息被發(fā)往不存在的MAC地址。

ARP重定向比ARP欺騙更近一步，不僅造成被攻擊主機不能訪問網絡，還可以造成主機信息被嗅探。如圖4所示，192.168.1.25向路由器宣告192.168.1.34的MAC地址為00-0f-3d-82-bc-7e(192.168.1.25的MAC)，這造成路由器發(fā)往192.168.1.34的信息被定向到00-0f-3d-82-bc-7e(192.168.1.25)，在這里信息遭到嗅探或者修改。

　　圖　4

不管是ARP欺騙還是ARP重定向，都是以偽造ARP應答為基礎的。通過綁定IP-MAC可以有效地避免ARP欺騙。Catalyst交換機擁有ARP檢查特性(ARP ACL)，過濾不符合IP-MAC綁定規(guī)則的ARP應答。ARP ACL與ACL相似，同樣為顯式允許隱式拒絕。網絡中主機較多時，配置ARP ACL的工作量較大。

配置命令：

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e
#綁定IP－MAC
CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺騙的有效性，需要持續(xù)不斷地發(fā)送偽造ARP應答。通過限制接口上的ARP應答數量，達到一定閾值時丟棄ARP應答或者關閉接口，可以抑制ARP欺騙。

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20
#10個ARP應答時丟棄ARP，20個ARP應答時關閉接口

DHCP安全

DHCP(Dynamic Host Configuration Protocol)通過DHCP服務器分配給客戶機IP地址、網關等配置信息。通過在網絡上引入一臺未經授權的DHCP服務器，可能為客戶機分配錯誤的IP地址，導致客戶機不能訪問網絡。如果未授權DHCP服務器分給惡意DNS，造成客戶訪問到虛假的服務器;如果是惡意的網關，則導致用戶信息有可能被嗅探或者修改。

在交換機上配置DHCP窺探(DHCP Snooping)，允許信任端口連接的主機發(fā)送DHCP應答，非信任端口則不允許DHCP應答。

配置命令：

Switch(config)#ip dhcp snooping    #開啟DHCP窺探
Switch(config)#ip dhcp
snooping vlan 2         #在vlan2中開啟DHCP窺探
Switch(config-if)#ip dhcp snooping trust   #定義DHCP信任端口

以上我們介紹了網絡二層可能出現的安全問題及其防范方法。下面我們將來探討兩種加強網絡二層安全的措施PVLAN(Private VLAN)。

PVLAN

PVLAN通過把處于VLAN中端口分割成為具有相同子網地址的隔離端口來增強網絡的安全性。使用PVLAN隔離端口不必劃分IP網段，大大節(jié)省了IP地址。由于這些特點，PVLAN廣泛應用于小區(qū)寬帶接入和DMZ區(qū)服務器接入。

PVLAN的端口分為三種：孤立端口(Isolated Port)、混雜端口(Promiscuous Port)和團體端口(Community Port)。獨立端口只能和混雜端口通信，連接不和子網內主機通信的主機;混雜端口能和任何端口通信，通常連接上層設備的端口;團體端口之間可以通信，也可以和混雜端口通信，連接和一部分子網主機通信的主機。

配置命令：

CatOS(enable)>setvlan 10 pvlanprimary   #設置vlan10為主vlan
CatOS(enable)>set vlan 100
pvlan isolated            #設置vlan100為孤立vlan
CatOS(enable)>set vlan 101 
pvlan community         #設置vlan101為團體vlan
CatOS(enable)>set vlan 10 100 3/13 
#捆綁從vlan100到主vlan10，并分配端口
CatOS(enable)>set vlan 10 101 3/2-12 
#綁定vlan101到主vlan10，并分配端口
CatOS(enable)>set vlan 10 100 mapping 3/1    #設定3/1為vlan100的混雜端口
CatOS(enable)>ste vlan 10 101 mapping 3/1   #設定3/1為vlan101混雜端口

發(fā)生在網絡二層的安全威脅都需要攻擊者直接接入網絡，所以要保證網絡安全，除了使用各種措施以外，對用戶的安全教育和監(jiān)管也必不可少。

yajing