2012年思科认证(CCNA)考试知识复习指导8
DHCP spoof attack:
欺骗者响应DHCP客户机的请求,并给其分配一虚假IP。—“man in the middle”
解决方法:交换机启用DHCP Snooping,所有端口都变成非信任状态,收到的DHCP响应包都丢弃。把接入层交换机的上行端口设置为信任状态。
ARP Spoofing:
同样是“man in the middle”,欺骗者冒充网关,主机会将ARP表项中网关的MAC改为欺骗者的MAC,导致无法正常上网。
解决方法:动态ARP检查(DAI),需要与DHCP Snooping配合
STP攻击:
攻击主机向所连接的交换机发送BPDU导致生成树重新计算
解决方法:将接主机的端口上启用BPDU Guard。
另外为避免接入层设备成为根,可在相应接口上启用根防护,spanning-tree guard root,意为这个端口不可能成为根口,因而与这个端口相连的设备不可能成为根。
还有一种情况,就是物理链路单向失效,导致单方向上BPDU传递失败,就会导致环路。解决方法是UDLD:单向失效链路检测。为了确保blocking端口收到BPDU,如果blocking端口收不到BPDU就会变成转发状态。早期使用loop guard,配置在所有非指定接口上,现在已经淘汰不用。
全局下启用UDLD enable,对所有光口生效。可以在非光口接口模式下启用UDLD。
不同类型的端口收到BPDU时:
1. Portfast端口:取消Portfast,正常处理BPDU;
2. BPDU guard端口:转入err-disable状态;
3. BPDU filter端口:全局配置情况下,端口取消portfast和BPDU filter,同正常端口一样收发BPDU;在接口配置情况下,会忽略收到的BPDU,而且从不发送BPDU;
4. Root guard端口:转入root-inconsistent状态,忽略收到的BPDU;
另外: Loop guard端口如果没有收到BPDU,则进入loop-inconsistent状态,在此状态下如果收到BPDU则会转入正常状态,无需人为干预。