|
汇聚层:运用访问控制列表提供网络安全性 核心层:一般不建议部署报文控制 数据中心:运用基于主机或网络的IPS、私有VLAN、ACL等 常见攻击类型: MAC地址泛洪攻击,在接入端口启用端口安全; VTP攻击,运用vtp的透明模式或进行认证操作; DHCP欺骗攻击,运用DHCP Snooping功能来防范; ARP欺骗,运用mac地址绑定来防范; 交换机安全性的建议: ①交换机访问的安全性 –配置系统密码 –运用AAA服务器对管理员访问进行验证 –配置加密或哈希的密码 – Console口的物理安全性 –运用ACL提升Telnet访问的安全性 –若可能,运用SSH –若可能,运用HTTPS(SSL) –配置系统警告提示信息 –运用syslog记录系统消息 –禁用未运用的服务 ②交换机协议的安全性 –禁用CDP和LLDP,仅在必要时运用 –生成树的安全性 ③缓解通过交换机造成的危害 –注意Trunk链路的配置,禁用DTP协商 –限制物理端口的访问 –为运用和未运用的端口制定标准的接入端口配置 –关闭未运用的端口 |
