网络中以太网应用技术广泛 随之而来的就有各种攻击存在
(如ARP DHCP MAC IP等攻击）
不但造成网络合法用户无法正常访问 对网络信息安全造成威胁
以太网交换安全越来越重要

主要的安全威胁：
MAC：泛洪 欺骗
DHCP：饿死 欺骗
ARP：欺骗
IP：欺骗

MAC地址表安全

动态：通过对帧内源MAC学习而来 会老化 重启后丢失
静态：绑定源MAC和接口关系 不会老化 保存不丢失
黑洞：过滤非法源MAC或目的MAC 不会老化 保存不丢失
ps：静态和黑洞不会被动态覆盖，而动态可以被静态和黑洞覆盖

命令

添加静态的mac表项
PS:一个静态MAC只能绑定一个接口

mac-address static 0000-1111-2222 g0/0/1 vlan 1

添加黑洞MAC表项

mac-address blackhole0666-0666-0666

配置老化时间，默认300s

mac-address aging-time 60

关闭基于接口的MAC地址
学习功能后对报文的处理动作

int g0/0/1
mac-address learning disableaction
•discard
•forward（默认）
discard：对报文源MAC地址进行匹配，当源MAC地址与MAC地址表项匹配时，对该报文进行转发；否则丢弃报文

关闭基于VLAN的MAC地址学习功能

vlan 10
mac-address learning disable
优先级：基于VLAN > 基于接口

配置MAC地址数量上限
配置超限后的动作
配置超限后是否告警

int g0/0/1
mac-limit maximum 10     数量上限
mac-limit action {discard |forward }  超限后的动作 
mac-limit alarm {disable |enable }    超限后是否告警

DHCP安全威胁

DHCP饿死攻击

• 攻击者持续大量的像server发送申请地址
• 直到耗尽Server地址池中的IP 地址
• 导致DHCP Server不能正常给用户分配
  DHCP欺骗
• 攻击者私自搭建DHCPServer 影响客户端的IP地址的获取

DHCP Snooping：DHCP嗅探

• 一种DHCP安全特性，防止网络上针对DHCP的攻击
• 核心功能：
  • DHCP Snooping信任功能
  • DHCP Snooping绑定表
• 保证DHCP客户端从合法的DHCP服务器获取IP地址
• 记录DHCP客户端IP地址与MAC地址等参数的对应关系
• 对DHCP报文进行检查、过滤和限速

DHCP Snooping信任功能

Trusted：正常转发接收到的DHCP报文
Untrusted：丢弃接收到的服务端报文，检查客户端报文

DHCP Snooping 绑定表

• 收到DHCP Ack报文后，从该报文中提取关键信息建立的一张表
• 建立MAC+IP+VLAN+Port的绑定关系
• 通过对报文与DHCP Snooping绑定表进行匹配检查，有效防范非法用户的攻击

PS：根据DHCP租期进行老化或 Release报文自动删除对应表项
PS：为了有效的防止非DHCP用户攻击，可开启设备根据DHCP Snooping绑定表生成接口的静态MAC表项功

DHCP Snooping应用场景

• 防止DHCP报文泛洪攻击导致设备无法正常工作
• 防止非DHCP用户攻击导致合法用户无法正常使用网络
• 防止DHCP Server服务拒绝攻击导致部分用户无法上线
• 防止仿冒DHCP报文攻击导致合法用户无法获得IP地址或异常下线
• 防止DHCP Server仿冒者攻击导致用户获取到错误的IP地址和网络参数

DHCP Snooping配置

推荐在用户接入层交换机上部署DHCP Snooping，越靠近PC端口控制的越准确