安全保护-局域网安全 | 这是一个霸气的名字

交换安全-局域网安全
二层交换机安全
mac洪泛攻击将单波帧转换为未知单波帧进行洪泛
中间人攻击
mac地址漂移
通过端口保护防止攻击
端口安全维护一个合法的端口与mac对应的关系

惩罚、
1.protect（端口mac条目数量过多，新计算机无法接入，
原有jisuanji 不受影响，
交换机不发送警告信息）
2.restrict（端口mac条目数量过多，新计算机无法接入，
交换机发送警告信息）
3.shutdown（端口mac条目数量过多，端口关闭，所有计算机无法接入网络，需要“shutdown”
“no shutdown”命令重新打开）

errdisable recovery cause psecure-violation(惩罚恢复)
errdisable recovery interval 60(恢复时间设置)
switchport protected(端口隔离)

docker

vlan
1.数据接入接口如果没有打vlan标记
，那么接口会选择放行，查表后会打上这个接口的标记
2.vlan标记与接口不一致丢弃
3.vlan标记与接口标记相同，则撕掉封装放行

DTP
技术上：
vlan跳转攻击
vlan tag native dot1q，
将交换机不用的接口划在同一vlan中，关闭这些接口

管理上：
1.pc不能划入本征vlan
2.本征vlan移动
3.把不用的接口关闭
4.把不用的接口划入特殊vlan

DTP协商容易遭到攻击，所有一般trunk协商我们都是关闭的
switchport trunk
switchport nonegotiate

安全保护-局域网安全-LMLPHP
dhcp攻击
IP dhcp snooping
ip dhcp snooping vlan 10
ip vlan 10
int e0
ip dhcp snooping trusted
ip dhcp snooping limit rate ?（用合法的方式达成非法的目的）
防止拒绝式服务攻击

dhcp耗尽式攻击（不断请求）chaddr
1.二层帧source mac 和 chaddr的mac一致
端口保护即可防御
2.二层帧source mac不变和而chaddr的mac变化
IP dhcp snooping verify mac-address
//检测二层mac与chaddr mac是否一致，不一致则丢弃

dhcp snooping的绑定表
接口获取的ip mac vlan 租期

把绑定表存储起来
ip dhcp snooping database flash: xx.txt
关option 82

中继情况下无法关闭option 82
在网关接口中配置
IP dhcp relay information trust//仅对路由器当前接口有效
ip dhcp relay infomation trust-all//对路由器所有接口有效

安全保护-局域网安全-LMLPHP
ARP欺骗
DAI动态arp检测技术（检测arp包），ip-mac关系是否合法
ip arp inspection vlan 1 //在vlan1开启DAI
ip arp inspection validata src-mac dst-mac ip//检查arp请求和响应报文
int f0/1
ip arp inspection trust //配置本接口为信任接口
int range f0/11-12
ip arp inspection limit none// 取消arp包限制，默认15个包/秒
ip arp inspection limit 10

安全保护-局域网安全-LMLPHP
ip地址欺骗
int f0/2
ip verify source port-security
int range f0/3-4
ip verify source port-security
ip source binding 0023.04e5.b221 vlan 1172.16.1.3 int f0/3

安全保护-局域网安全-LMLPHP
端口阻塞：
int f0/0
switchport block multicast
switchport block unicast
show int f0/0 switchport
一般用于保护连接服务器的端口或者某个重要的端口

风暴控制当交换网络出现单波/组播/广播时，
可以抑制转发这些风暴包的接口

生成树
1.portfast
加快收敛blocking->forwording
所有接口都不参见加生成树的构建
2.bpduguard
接口下启用，若接口收到bpdu信息接口会立即进入err-disable状态
show int f0/1
3.bpdufilter
接口下启用，收到的bpdu信息会被过滤风险，
交换机丧失对这个接口的环路判断
全局配置下，接口状态回到监听状态
安全保护-局域网安全-LMLPHP
4.rootguart 阻止抢根的bpdu （切忌在生成树创建成功之前敲此命令，
在一些不信任的接口使用此命令）
只能在接口下敲
spaning-tree guard root
5.loopguard 一般在阻塞端口，防止单向链路问题而引发的环路
spaning-tree guard loop
spanning-tree loopguard default
6。udld 单向链路检测
接口下，两端启用，可取代loopguard

交换机的调整时间
默认5min，
mac表满了调小时间，
交换网络未知单波帧过多洪泛调大时间
mac address-table again-time

mac access-list extended X
permit