常見的四種交換機防范欺騙攻擊方法及相應命令，交換機防范欺騙攻擊中有很多種欺騙攻擊，這里我們主要介紹防動態中繼協議DTP攻擊，防范VLAN跨越式攻擊，防范DHCP欺騙攻擊和防范ARP欺騙攻擊的防范方案。

交換機防范欺騙攻擊：防動態中繼協議DTP攻擊

交換機通過交換DTP協議，動態協商中繼鏈路的用法和封裝模式。然而，如果交換機中繼端口模式為Auto，它將等待處于模式Auto或On的另一臺交換機的請求建立連接。這時，如果惡意用戶利用DTP嘗試同交換機端口協商建立中繼鏈路，攻擊者將可以捕獲任何通過該VLAN的數據流。

交換機防范欺騙攻擊方法是：將任何連接到用戶的端口配置為Access模式，從而使它不能以Auto模式使用DTP。需要使用的命令為：
Switch(config-if)#switchport mode access

交換機防范欺騙攻擊：防范VLAN跨越式攻擊

在這種攻擊方法中，攻擊者位于普通VLAN，發送被雙重標記的幀，就像使用的是802.1q中繼鏈路。當然，攻擊者連接的并非中繼線路，他通過偽造中繼封裝，欺騙交換機將幀轉發到另一個VLAN中，實現VLAN跨越式攻擊，從而在數據鏈路層就可非法訪問另一VLAN。

交換機防范欺騙攻擊方法是：首先，修改本征VLAN ID并在中繼鏈路兩端將本征VLAN修剪掉命令為：
Switch(config-if)#switchport trunk native vlan 200
Switch(config-if)#switchport trunk allowed vlan remove 200
然后，強制所有的中繼鏈路給本征VLAN加標記，交換機防范欺騙攻擊命令為：
Switch(config)#vlan dotlq tagnative

交換機防范欺騙攻擊：防范DHCP欺騙攻擊

DHCP欺騙的原理可以簡述為，攻擊者在某計算機上運行偽造的DHCP服務器，當客戶廣播DHCP請求時，偽造服務器將發送自己的DHCP應答，將其IP地址作為默認網關客戶收到該應答后，前往子網外的數據分組首先經過偽網關。如果攻擊者夠聰明，他將轉發

該數據分組到正確的地址，但同時他也捕獲到了這些分組。盡管客戶信息泄露了，但他卻對此毫無所知。防范方法是：在交換機上啟用DHCP探測。首先，在交換機的全局模式下啟用DHCP探測，其交換機防范欺騙攻擊命令為：
Switch(config)#ip dhcp snooping
接下來，指定要探測的VLAN，交換機防范欺騙攻擊命令為：
Switch(config)#ip dhcp snooping vlan 2
然后，將DHCP服務器所在端口設置為信任端口，交換機防范欺騙攻擊命令為：
Switch(config-if)#ip dhcp snooping trust
最后，限制其他不可信端口的DHCP分組速率，交換機防范欺騙攻擊命令為：
Switch(config-if)#ip dhcp snooping limit rate rate

交換機防范欺騙攻擊：防范ARP欺騙攻擊

ARP地址欺騙類病毒是一類特殊的病毒，該病毒一般屬于木馬病毒，不具備主動傳播的特性，不會自我復制。但是由于其發作的時候會向全網發送偽造的ARP數據包，干擾全網的運行，因此它的危害比一些蠕蟲還要嚴重得多。其實， 我們只需要在交換機上綁定MAc地址，就能讓ARP病毒無用武之地。

首先，在交換機上啟用端口安全，交換機防范欺騙攻擊命令為：
Switch(config-if)#switchport port-security
然后，指定允許的MAC地址，以便允許合法的MAC地址訪問，交換機防范欺騙攻擊命令為：
Switch(config-if)#switchport port-security mac-address 000A.E698.84B7
當然，上述操作是靜態指定地址，比較麻煩。我們也可以動畫獲悉MAC，然后在端口上限制最大允許學習的MAC數目，命令為：
Switch(config-if)#switchport port-security 24
然后定義如果MAC地址違規則采取怎樣的措施，交換機防范欺騙攻擊命令為：
Switch(config-if)#switchport port-security vislation shutdown
其中shutdown是關閉，restrrict是丟棄并記錄、警報，protect是丟棄但不記錄。

以上就是有關交換機防范欺騙攻擊的技術細節。相信確保交換機這三個方面的安全設置，并配合相應的規章、制度，就一定能夠保證交換機的安全。