交换安全

交换安全（局域网安全）
进行垃圾mac攻击和伪造覆盖mac接口
只需要进行端口保护，
端口安全 维护一个合法的端口与mac对应关系。
#mac-address-table static 00d0.d3bd.d001 vlan 1 intf0/1
静态安全MAC地址
#int f0/1
#shutdown
#switchport mode access
#switchport access vlan 1
#switchport port-security
惩罚
1.protect—当心计算机接入时，如果该端口的MAC条目数量超过最大数量，则此新计算机无法接入，原有计算机不受影响，交换机也不发送警告信息。
2.restrict—当心计算机接入时，如果该端口的MAC条目数量超过最大数量，则此新计算机无法接入,交换机也发送警告信息。
3.Shutdown—当心计算机接入时，如果该端口的MAC条目数量超过最大数量,则该端口将会被关闭，则此新计算机和原有计算机都无法接入网络，此时需要接入原有计算机并在交换机中的该端口下使用shutdown和no shutdown命令重新打开端口。
#switchport protectd 隔离技术，只能和网关通信，一般用于宿舍，学校
DTP
DTP协商容易遭到攻击，所以一般truck协商是关闭的。
命令：
#int f0/23
#switchport truck encapsulation dot1q
#switch port mode truck
#switchport nonegotiate

被惩罚的接口show int xx状态呈现errdisable
Sw1#errdisabled recovery cause pecure-violation
允许交换机自动恢复因端口安全而关闭的端口
#errdisabled recover interval 60 //设置交换机60s后自动恢复端口
（1）管理层面防止vlan跳转
1.pc不能划入本征vlan
2.本征vlan移动
3.把不用的接口关闭
4.把不用的接口划入特殊vlan
1-10 11-24
int range f0/11-24
shutdown
switch acc vlan 999
int f0/5
switch truck native vlan 999
（2）技术层面
指令：#vlan tag native dot1q把交换机不用的接口划分在一个不适用vlan并且关闭这些接口

DHCP Snooping
因为客户端与服务端无法进行认证，所以在交换机上做
交换机端口分两类 trust、untrust
防御原理：让交换机去检测DHCP的包
#ip dhcp snooping
#ip dhcp snooping vlan 100
#ip dhcp snooping limit rate 50 设定端口发送包的数量，减缓DHCP的

耗尽攻击
1.二层帧source mac 和chaddr的mac一致
端口保护便可题防御
2…二层帧source mac 不变，而chaddr的mac改变
Ip80 dhcp snooping verfiy mac-address //检测二层mac与charrdr mac是否一致，不一致丢弃。

DHCP snooping的绑定表
接口 获取的ip mac vlan 租期
把绑定表存储
#ip dhcp snooping database flash: xx.txt
#show ip dhcp snooping binding查看表
当有两台交换机：
#no ip dhcp snooping information option 关闭option 82
出现跨网段时----必须使用中继，此时不可以关闭option 82
（1）接口指令：#ip dhcp relay information trust
（2）可在干道做truck，或者不做truck，关闭option 82，牺牲绑定表。

ARP欺骗
#ip arp inspection vlan 1 在vlan1启用DAI
#ip arp inspection validate srs-mac dst-mac ip //检查arp报文中的源MAC地址、目的MAC地址、源IP地址和DHCP Snooping绑定信息是否一致
#int f0/1
#ip arp inspection trust //配置接口为信任口
#ip arp inspection limit 10 //对arp进行限制
IP地址欺骗–针对某一个接口
#int f0/1
#ip verify source port-security //在本地接口启用ipsg功能
#ip source binding 0023.04e5.b221 vlan 1172.16.1.3 int f0/3
802.1x和服务器 ISE LDAP
端口阻塞–一般用来保护服务器端口或者某个重要的端口。
int fo/1
#switch block multicast
#switch block unicast
#show int f0/0 switchport
风暴控制 //当交换网络出现单播/组播/广播风暴，可以抑制转发这些风暴的接口
#storm-control action ?
#srorm-control broadcast level ?

生成树：
1.Portfast加快接口收敛blocking>forwording
在接口下启用，接口直接能转发。风险：不参与生成树的构建，当出现环路生成树则无能为力。
在全局下模式下：所有的access接口会立即进入转发状态，如果一个接口有broadcast消息，那么这个接口portfast失效。
#int f0/1
#switchport access vlan 4
#spanning-tree portfast default
单臂路由交换机的接口，还用于交换机连接无线控制器，配置truck的portfast，使得单臂路由可以立即转发数据，在其他情况下谨慎使用
#spanning-tree portfast truck
2.Bpduguard，接口下启用，接收到bpdu的信息接口会立即进入err-disable状态
#int f0/1
#switchport mode access
#spanning-tree portfast
#spanning-tree bpduguard enable
全局模式下启用，先启用全局的portfast
#spanning-tree portfast bpduguard default
3.Bpdufilter接收到bpdu消息会被过滤,风险：交换机丧失对此接口得到环路判断。
#int f0/23
#spanning-tree bpdufilter enable
4.Rootguard阻止抢根bpdu，在生成树完成后敲rootguard，只能在接口下配置
#int f0/23
#switchport truck encapsulation dot1q
#switchport mode truck
#spanning-tree guard root
5.Ioopguard一般用在阻塞端口，防止单向链路失效引发的环路
接口下：#spanning-tree guard loop
全局模式：#spanning-tree loopguard default

#no ip http server
#mac sdress-table aging-time调整mac时间，
1.交换机mac满时，调小老化时间
2.交换机未知单播时间，调大老化时间