交换机的常见攻击方式
1.VLAN 跳跃攻击
2.生成树攻击
3.MAC表泛洪(广播)
4.ARP攻击
5.VTP攻击(是VLAN中继协议,也被称为虚拟局域网干道协议)VLAN同步技术
解决方法
针对Mac泛洪
数量限制
限制MAC(绑定)
Switch(config-if)#switchport port-security ?
mac-address
maximum 最大数量(利用集线器测试)
violation 处理方式
Switch(config-if)#switchport port-security violation ?
protect 保护
restrict 限制(丢弃)
shutdown 关闭
基本配置
Switch(config-if)#switchport mo ac
#需要将链路设置为access
Switch(config-if)#switchport port-security 开启端口安全
Switch(config-if)#switchport port-security mac-address 00D0.FFCD.EA80
#绑定MAC
Switch(config-if)#switchport port-security violation shutdown
#处理方式为shutdown
当加入其它的MAC地址是链路会断开,如果需要通信则需要先shutdown再no shutdown
针对VTP攻击
域名同步
密码
修订版本号 同步修改次数大的S
服务器(S)、客户端(C)、透明(T转发但不同步)
模式
Switch(config)#vtp mode ?
client #C 不能创建VLAN
server #S
transparent #T
SW1(config)#vtp ?
domain 域名 #需要统一域名下才能同步(T可以不用设置)
mode 模式·
password 密码 #需要统一密码下才能同步(T可以不用设置)如果不设置密码随便一台交换机连入都会自动同步为S并且可以修改
version #版本
SW1(config)#vtp domain lx #S、C需要在同一域名
Changing VTP domain name from NULL to lx