在網絡安全設計中，設計者較多地分析了來自組織外部的安全威脅，而對來自組織內部的安全威脅則分析較少。內部用戶由于直接接入二層網絡，擁有更多的可控制協議(包括二層網絡協議)，因而利用這些協議特性所造成的安全威脅也更加多樣。在OSI模型的不同層次，標準化組織開發了各種安全協議，其中涉及認證、加密等，但是針對OSI二層—數據鏈路層的安全協議卻較少。同時網絡二層的安全普遍較少引起規劃人員的注意，這就造成了網絡二層成為網絡安全中的薄弱環節。本文針對網絡中存在的二層安全威脅做一些深入討論，同時提出合理的防范建議。

MAC洪泛

MAC洪泛是針對二層交換機發起的攻擊，但主要目的是實現在交換網絡環境下的嗅探（Sniffing）。當MAC幀通過交換機時，交換機會檢查幀中的源MAC地址，并建立該MAC地址和端口的映射表，這張映射表存儲于交換機的CAM（內容可尋址存儲器）中。當進行幀轉發時，交換機會查看該映射表，把MAC地址已知的幀轉發到相應端口，只有MAC地址未知的幀才洪泛到所有端口。通過這樣的轉發行為，交換機有效地避免了在HUB環境下產生的嗅探攻擊。

MAC洪泛中，攻擊者發送源地址不斷變化的MAC幀（攜帶虛假MAC地址），導致CAM溢出，這樣交換機便不能再學習新的MAC地址。同時攻擊者配合使用TCN BPDU（STP協議中宣布生成樹拓撲變化的BPDU），加速已有真實MAC地址條目的老化，最終使CAM中完全充斥著虛假的MAC地址條目。經過交換機的數據幀因查不到相應的MAC條目，被洪泛到所有的端口。

通過MAC洪泛，攻擊者把難以進行嗅探的交換環境演變成為可以進行嗅探的共享環境。在Cisco交換機中啟用Port Security，限制每個端口可以出現的MAC地址，可以抑制MAC洪泛攻擊。

配置命令：

CatOS(enable)>set port security 1/1 maximum 2

#限制1/1端口最多可能出現的2個MAC地址

CatOS(enable)>set port security 1/1 violation shudown|restriction

#當超過MAC地址數后是關閉接口還是丟棄后來的MAC幀

STP安全

STP（Spanning Tree Protocol，生成樹協議）是二層網絡中普遍運行的協議，主要目的避免網絡二層環路的存在。STP以根網橋（Root Bridge）為根，通過發送BPDU（Bridge Protocol Data Unit，網橋協議數據單元）來構建一個無環的樹形拓撲。由于STP缺乏信息的驗證機制，所以虛假的STP信息會造成嚴重的網絡安全問題。

如圖1所示，攻擊者接入兩臺交換機，并使用擁有更小Bridge ID的TCN BPDU宣告自己為根網橋。這樣生成樹拓撲發生變化，以攻擊者為根，所有的流量不再經過交換機之間的鏈路，而是經過攻擊者。這樣攻擊者便可以發動嗅探、會話劫持、中間人（Man In The Middle）等諸如此類的攻擊。

圖1#p#

Cisco交換機中的BPDU Guard特性可以很好地解決針對STP的攻擊。當端口上開BPDU Guard以后，交換機不接受從此接口上收到的BPDU。通?？梢栽赑ortFast端口上開啟BPDU Guard，因為PortFast端口大部分只連接主機終端，不會產生BPDU。當交換機從開啟BPDU Guard特性的端口上收到BPDU時，則會關閉該端口。

配置命令：

CatOS(enable)>set spantree porfast bpduguard enable       

#在PortFast端口上開啟BPDU Guard特性

Root Guard特性使交換機不接受該端口上的根網橋BPDU宣告，防止攻擊者宣告自己為根網橋。但是，攻擊者通過精心選擇Bridge ID，還是可以把流量進行通信定向。所以使用BPDU Guard是防止針對STP攻擊的根本方法。

配置命令：

CatOS(enable)>set spantree guard root 1/4 #1/4端口上不接受根網橋BPDU宣告 

CDP安全

攻擊者發動攻擊之前，往往會通過各種手段搜集攻擊目標的相關信息，以便發現安全漏洞。CDP（Cisco Discovery Protocol，思科發現協議）是Cisco網絡環境下用來在相鄰設備下交換設備相關信息的協議。這些信息包括設備的能力、運行IOS版本號等。攻擊者可能通過IOS版本號得知該版本安全漏洞，并針對漏洞進行攻擊。CDP在了解網絡狀況，進性故障排除時擁有一定作用，所以建議在連接終端用戶的端口上關閉CDP協議（如圖2所示）。如果有需要，可以徹底地關閉網絡中的CDP協議。

圖　2

配置命令：

Switch(config-if)#no cdp enable                       

#在接口上停止運行CDP

Switch(config)#no cdp running                         

#在設備上關閉CDP協議 

#p#

VTP安全

VTP（VLAN Trunk Protocol,VLAN中繼協議）通過處于VTP Server模式的交換機發送VTP信息，達到在交換機之間共享VLAN數據庫的目的，從而減少VLAN配置工作量。如果攻擊者偽造VTP信息，刪除VTP域中的所有VLAN，則導致以前劃入VLAN的接口關閉，產生DoS攻擊。通過在VTP域中設置Password則可以有效防止VTP信息的偽造。Password可以在VTP信息加入MD5認證信息，使VTP信息偽造變得困難。

配置命令：

CatOS(enable)>set vtp domain vtpdomain mode server passwd XXX     

#設置VTP域的認證Password 

VLAN安全

VLAN把網絡分割成為多個廣播域，使VLAN間的訪問要經過三層設備（路由器、三層交換機），通過在三層設備上放置ACL就能達到很好的訪問安全性。但是通過使用特殊的方法仍然能夠達到VLAN跳轉，對VLAN安全產生極大的威脅。

VLAN跳轉利用了交換機默認不安全的配置。在交換機上，端口使用DTP（Dynamic Trunk Protocol）協議和對端口進行端口類型協商，決定端口處于Access還是Trunk狀態。如果一臺主機扮演交換機角色和交換機的端口協商成為Trunk，那么該主機將能夠訪問到所有的VLAN。解決基本VLAN跳轉方法是關閉DTP協商，或者把接入端口置為Access狀態。

配置命令：

CatOS(enable)>set trunk 1/1 off                         

#關閉DTP協議

Switch(config-if)#switchport mode access                

#把端口置于Access狀態

ARP安全

ARP（Address Resolution Protocol）是把IP地址映射為MAC地址的協議。因為ARP沒有IP所有權的概念，即MAC地址和IP地址是分離的，意味著一個MAC地址都可能扮演任意一個MAC地址。通過ARP欺騙，可以發動多種攻擊。

圖　3

如圖3所示，主機192.168.1.25發送偽造ARP信息，向路由器宣告192.168.1.34的MAC地址為11-22-33-44-55-66，造成路由器ARP表錯誤，這樣路由器到192.168.1.34的信息被發往不存在的MAC地址。

ARP重定向比ARP欺騙更近一步，不僅造成被攻擊主機不能訪問網絡，還可以造成主機信息被嗅探。如圖4所示，192.168.1.25向路由器宣告192.168.1.34的MAC地址為00-0f-3d-82-bc-7e（192.168.1.25的MAC），這造成路由器發往192.168.1.34的信息被定向到00-0f-3d-82-bc-7e（192.168.1.25），在這里信息遭到嗅探或者修改。

圖　4

不管是ARP欺騙還是ARP重定向，都是以偽造ARP應答為基礎的。通過綁定IP－MAC可以有效地避免ARP欺騙。Catalyst交換機擁有ARP檢查特性(ARP ACL)，過濾不符合IP－MAC綁定規則的ARP應答。ARP ACL與ACL相似，同樣為顯式允許隱式拒絕。網絡中主機較多時，配置ARP ACL的工作量較大。

配置命令：

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.25 00-0f-3d-82-bc-7e

#綁定IP－MAC

CatOS(enable)>set security acl ip acl-95 permit arp-inspection host 192.168.1.34 00-0f-3d-82-bc-7f

要保持ARP欺騙的有效性，需要持續不斷地發送偽造ARP應答。通過限制接口上的ARP應答數量，達到一定閾值時丟棄ARP應答或者關閉接口，可以抑制ARP欺騙。

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20

#10個ARP應答時丟棄ARP，20個ARP應答時關閉接口 

CatOS(enable)#set port arp-inspection 1/1 drop-threshold 10 shutdown-threshold 20

#10個ARP應答時丟棄ARP，20個ARP應答時關閉接口

DHCP安全

DHCP（Dynamic Host Configuration Protocol）通過DHCP服務器分配給客戶機IP地址、網關等配置信息。通過在網絡上引入一臺未經授權的DHCP服務器，可能為客戶機分配錯誤的IP地址，導致客戶機不能訪問網絡。如果未授權DHCP服務器分給惡意DNS，造成客戶訪問到虛假的服務器；如果是惡意的網關，則導致用戶信息有可能被嗅探或者修改。

在交換機上配置DHCP窺探（DHCP Snooping），允許信任端口連接的主機發送DHCP應答，非信任端口則不允許DHCP應答。

配置命令：

Switch(config)#ip dhcp snooping    #開啟DHCP窺探

Switch(config)#ip dhcp

snooping vlan 2         #在vlan2中開啟DHCP窺探

Switch(config-if)#ip dhcp snooping trust   #定義DHCP信任端口

以上我們介紹了網絡二層可能出現的安全問題及其防范方法。下面我們將來探討兩種加強網絡二層安全的措施PVLAN（Private VLAN）。

PVLAN

PVLAN通過把處于VLAN中端口分割成為具有相同子網地址的隔離端口來增強網絡的安全性。使用PVLAN隔離端口不必劃分IP網段，大大節省了IP地址。由于這些特點，PVLAN廣泛應用于小區寬帶接入和DMZ區服務器接入。

PVLAN的端口分為三種：孤立端口（Isolated Port）、混雜端口（Promiscuous Port）和團體端口（Community Port）。獨立端口只能和混雜端口通信，連接不和子網內主機通信的主機；混雜端口能和任何端口通信，通常連接上層設備的端口；團體端口之間可以通信，也可以和混雜端口通信，連接和一部分子網主機通信的主機。

配置命令：

CatOS(enable)>setvlan 10 pvlanprimary   

#設置vlan10為主vlan

CatOS(enable)>set vlan 100

pvlan isolated            

#設置vlan100為孤立vlan

CatOS(enable)>set vlan 101 

pvlan community         

#設置vlan101為團體vlan

CatOS(enable)>set vlan 10 100 3/13 

#捆綁從vlan100到主vlan10，并分配端口

CatOS(enable)>set vlan 10 101 3/2-12 

#綁定vlan101到主vlan10，并分配端口

CatOS(enable)>set vlan 10 100 mapping 3/1    

#設定3/1為vlan100的混雜端口

CatOS(enable)>ste vlan 10 101 mapping 3/1   

#設定3/1為vlan101混雜端口

發生在網絡二層的安全威脅都需要攻擊者直接接入網絡，所以要保證網絡安全，除了使用各種措施以外，對用戶的安全教育和監管也必不可少。 

【編輯推薦】

1. 從OSI模型看三種解決網絡故障常用思路
2. 理解OSI網絡分層