2 网关设备侧攻击防范
2.1 二层交换机(接入设备)配置规范
? 在与PC直接相连的端口上配置静态MAC同时禁止动态学习MAC
注:配置顺序一定要注意,要先配置静态MAC再在端口下禁止動态学习MAC;如要对静态MAC绑定的数据做任何修改和删除,也要先在对应端口下删除mac-address max-mac-count 0修改完成后再在端口重新添加mac-address max-mac-count 0。否则设备易出错切记!
完成了如上配置后,某端口下只能连接指定MAC的PC如果有非法PC企图接入网络或原合法PC机中毒后企图发起一些变换MAC的攻击,则新的MAC地址不会被端口所学习这样,大大加强了二层网络的安全性
2.2 三层交换机(网关设备)配置规范
? 在三层交换机上配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击:
2.3 交换机既作网关又作接入时的配置规范(综合前两项)
? 在与PC直接相连的端口上配置静态MAC同时禁圵动态学习MAC
? 配置静态ARP绑定下挂PC机的IP与MAC地址,防止下挂PC随意变动IP地址或发起ARP攻击
版权声明:文章内容来源于网络,版权归原作者所有,如有侵权请点击这里与我们联系,我们将及时删除。