二层攻击分类：MAC层攻击、VLAN攻击、欺骗攻击和交换机设备上的攻击。
1）MAC攻击：
攻击方法：mac地址洪泛，中间人攻击。攻击简单描述：无效源mac地址的数据帧向交换机洪泛，消耗完交换机的cam地址表，从而阻止合法主机的mac地址生成新条目，去往其他主机的流量会向所有端口洪泛。防御策略：端口安全。
具体端口安全防御策略：
a、在交换机上静态的安全MAC地址(将MAC地址和端口进行静态绑定 注：一对一 )
sw1(config)#mac-address-table static 00d0.d3bd.d001 vlan 1 int f0/1
接着开启接口惩罚措施
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1 //设置接口的最大接收数
sw1(config-if)#switchport port-security violation shutdown //设置惩罚措施
sw1(config-if)#switchport port-security mac-address 00d0.bab2.2611
sw1(config-if)#no shutdown
可以选择多种方式惩罚：
1>protect—当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机将无法接入，而原有的计算机不受影响，交换机也不发送警告信息；
2>restrict–当新计算机接入时，如果该端口的MAC条目超过最大数量，则这个新的计算机无法接入，并且交换机将发送警告信息；（过量警告使得计算机down）
3>shutdown–当新计算机接入时，如果该端口的MAC条目超过最大数量，则该端口将会被关闭，则这个新的计算机和原有的计算机都无法接入网络，这时需要接入原有的计算机并在交换机中的该端口下使用。（shutdown和no shutdown命令重新打开端口）。
静态安全mac地址可以使得交换机的接口（f0/1)只能接入某一固定的计算机，然而需要使用“switchport port-security mac-address 00d0.bab2.2611”命令，这样就需要一一查出计算机的mac地址，这样不大现实，粘滞安全mac地址可以解决这个问题。
b.粘滞安全MAC地址(让交换机自动记录该接口接收到的第一个MAC地址，并进行绑定)
sw1(config)#default int f0/1
sw1(config)#int f0/1
sw1(config-if)#shutdown
sw1(config-if)#switchport mode access
sw1(config-if)#switchport access vlan 1
sw1(config-if)#switchport port-security
sw1(config-if)#switchport port-security maximum 1
sw1(config-if)#switchport port-security violation shutdown
sw1(config-if)#switchport port-security mac-address sticky //配置交换机接口自动粘滞MAC地址
sw1(config-if)#no shutdown
被惩罚的接口使用show int XX可以查看到接口状态是errdisable
sw1(config)#errdisable recovery cause psecure-violation //允许交换机自动恢复因端口安全而关闭的端口
sw1(config)#errdisable recovery interval 60 //配置交换机60s后自动恢复端口
接口隔离：进接口switchport protected（隔离后同一网段也不能通信，只能与网关通信）
c.端口阻塞
如果在交换机的CAM表中没有发现目标条目，则交换机将向相同VLAN(同一广播域)中的所有端口广播(泛洪)未知单播或组播流量。给受保护端口转发未知单播或组播流量，这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发未知单播或多播流量的接口。（保护服务器端口或者某个重要端口）
SW1(config)#int f0/0
SW1(config-if)#switchport block multicast //阻塞组播流量
SW1(config-if)#switchport block unicast //阻塞未知单播流量
d.风暴控制
在接口上开启风暴控制，设置风暴的阀值，如果接口的风暴流量超过阀值则实施惩罚措施，使用的对象可以是unicast、multicast、broadcast等。（抑制转发这些风暴包的接口）

2）vlan攻击
攻击方法：vlan跳转；公共vlan设备之间的攻击。攻击描述：通过改变trunk链路中封装数据包的vlanID，攻击设备可以发送或者接收不同vlan中的数据包，而绕过三层安全性机制。；即使是公共vlan中的设备，也需要逐一进行保护，尤其是在为多个客户提供设备的服务提供商网段中尤为如此。解决方案缓解步骤：加强trunk的配置和未使用端口的协商状态把未使用的端口放入公共vlan；实施私用vlan（pvlan）。

本征VLAN（过干道不贴标签）会被跳转攻击 贴两个标签即可攻击（本征+目标）
DTP协商容易遭到攻击，所以一般trunk协商我们都是关闭的。

VLAN攻击防御措施：缓解VLAN跳转攻击
将所有未使用的端口设置为Access端口，使其无法协商链
路聚集协议。将所有未使用的端口设置为Shutdown状态，并放入同一个VLAN中。在建立Trunk链路时，将链路聚集协议设置成Nonegotiate。在Trunk链路上配置所需要承载的具体VLAN。Native VLAN与任何数据VLAN都不相同
配置：
switch(config)# mac access-list extended BACKUP-SERVER
switch(config-ext-mac)# permit any host 0000.1111.4444
switch(config)# access-list 100 permit ip 10.1.9.0 0.0.0.255 any
switch(config)# vlan access-map XYZ 10
switch(config-map)# mactch ip address 100
switch(config-map)# action drop
switch(config-map)# vlan access-map XYZ 20
switch(config-map)# match mac address BACKUP-SERVER
switch(config-map)# action drop
switch(config-map)# vlan access-map XYZ 30
switch(config-map)# action forward
switch(config)# vlan filter XYZ vlan-list 10,20

封堵本征VLAN攻击：
技术上：过干道时，强行贴标签 vlan tag native dot1q
管理上：1.pc不能被划入本征VLAN
2.本征VLAN重新设置
3.把不用的接口关闭
4.把不用的接口划在特殊VLAN
3）欺骗攻击
a.DHCP
攻击方法：DHCP耗竭；DHCP欺骗。攻击描述：攻击设备在一段时间内，消耗完DHCP服务器上的可用地址；在中间人攻击中，把自己伪装成DHCP服务器。解决方案：使用DHCP侦听。（交换机监测 dhcp包，识别包中字段 监测非dhcp接口，是否有offer包发出）（默认配置完DHCP Snooping交换机上的所有接口都为非信任接口，我们应当配置与DHCP服务器相连的接口为信任接口）。
DHCP侦听防御措施：DHCP snooping
switch（config） # ip dhcp snooping
switch（config） # ip dhcp snooping vlan 10
switch（config-if） # ip dhcp snooping limit rate 10 // dhcp包的转发速率，超过就接口就shutdown，默认不限制
switch（config-if） # ip dhcp snooping trust // 将端口变成信任端口，信任端口可以正常接收并转发DHCP Offer报文，默认交换机的端口都是非信任端口， 只能够发送DHCP请求
switch# show ip dhcp snooping // 显示DHCP探测状态

多台交换机：
1.跨交换机，干道两端都要为信任口，否则会收到带82的数据包，非信任丢包
2.一个可为不信任 no ip dhcp snooping information option 不插入option 82
3.中继时，不能关82 ，在接口上写 ip dhcp relay information trust 允许82为0的通过

b.ARP欺骗
攻击方法：ARP欺骗。攻击描述：攻击设备故意为合法主机伪造ARP应答，攻击设备的mac地址就会成为该合法网络设备所发出的数据帧的二层目的地址。解决方案：使用动态ARP检测、DHCP侦听、端口安全。
解决方案：DAI（Dynamic ARP inspection）

应用场景：用户使用动态IP地址
缺点：DAI功能需通过CPU处理，大量的ARP报文可能导致CPU过高
c.IP欺骗
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址，以便冒充其它系统或发件人的身份；这也是黑客进行DoS(Denial of Service 拒绝服务)攻击时经常同时使用的一种手段。
解决方案:最主要的是找到信任源；
IP SOURCE GUARD（IP源保护技术）:利用已有的信任IP与接口记录关系来检测交换机上收到的数据包是否与信任表一致，一致则放行，不一致就阻塞该接口。（慎用，会让交换机检查IP包，交换机的数据接收量可是非常巨大的，这样增大交换机的负荷，严重影响交换机的性能）。所以配置时启用的接口不能过多，一般只在特定的接口上设置。
SW1(config)#int f0/2
SW1(config-if)#ip verify source port-security //在本接口启用IPSG功能
SW1(config)#int range f0/3 - 4
SW1(config-if)#ip verify source port-security
SW1#ip source binding 0023.04e5.b221 vlan 1 172.16.1.3 int f0/3