园区网设备安全

接入层采用端口安全来控制网络访问

分布层使用访问列表来提供安全性

核心层不采用安全策略

服务器集群认证服务器、IPS、防火墙、Pvlan、访问控制列表

二层的攻击方式

MAC层的攻击：

MAC地址泛洪（消耗交换机的mac地址表，阻止正常主机数据流量）

缓解方法：端口安全策略（MAC地址绑定、限制MAC地址数量）

          基于MAC地址的访问控制列表（VACL）

VLAN攻击：

VLAN跳转（①通过DTP的自动协商功能利用trunk来发送和接收非法带有vlanID的流量②双层vlan标签实现vlan的跳转攻击）

缓解方法：对于不使用的端口关闭自动协商，把使用的端口划分到单独的一个vlan中，关闭不使用的端口

欺骗攻击：

DHCP资源耗竭和DHCP欺骗（攻击设备消耗完DHCP地址池内地址资源，或者是欺骗主机自己伪装为DHCP服务器做出应答）

缓解方法：使用DHCP侦听将交换机端口划为可信端口和不可信端口，可信端口可以发起所有dhcp消息，不可信端口只能发起DHCP请求，如果不可信端口发送DHCP应答将关闭该端口，此外不可信端口还可以限制发送DHCP请求的频率。

 

生成树欺骗（攻击者伪装成STP跟桥截获所有数据帧流量）

缓解方法：手动指定根网桥和备份根网桥，开启Root Guard

 

MAC地址欺骗(欺骗交换机伪装成CAM表中正常的MAC地址将本该发往正常的主机的流量截获)

缓解方法：使用DHCP侦听利用对不可信端口的DHCP绑定表来识别攻击主机

          限制端口的mac地址数量，指定某些MAC地址允许使用该接口

 

ARP欺骗（欺骗合法主机，通过伪造设备的ARP应答来向合法主机接收和发送数据帧）

缓解方法：动态ARP检测 动态ARP会检测不可信端口上的ARP请求和应答，通过将截获的数据包和合法的IP与MAC绑定表进行对比，这个映射表是通过DHCP侦听学习到的，如果发现非法ARP数据则丢弃该端口的ARP数据包。

 

交换机设备的攻击

CDP修改（由于CDP发送的是明文信息且未加密，攻击者截获CDP消息会获悉到网络拓扑信息）

缓解方法：在不必要的端口上关闭CDP 全局下no cdp run

SSH和telnet攻击 telnet发送的数据包是以明文方式查看的，ssh可以对数据包进行保护，ssh版本1中仍然存在安全问题。

缓解方法：采用ssh2版本，telnet结合VTY acl访问控制使用

 

利用IP源防护结合mac地址来控制接入层的网络安全

园区网设备可以通过架设AAA服务器来做好设备的访问控制