22,WEP,WPA,WPA2三种无线加密方式的区别

2024年2月10日发(作者：)

BCMSN总结

1、VLAN是什么?VLAN划分为哪几种？

VLAN，虚拟局域网， VLAN是一种将局域网（LAN）设备从逻辑上划分成一个个网段，从而实现虚拟工作组（单元）的数据交换技术。

VLAN在交换机上的实现方法，可以大致划分为六类：

1、基于端口的VLAN

2、基于MAC地址的VLAN

3、基于网络层协议的VLAN

4、根据IP组播的VLAN

5、按策略划分的VLAN

6、按用户定义、非用户授权划分的VLAN

2、Trunk是什么？模式有哪几种？

Trunk是端口汇聚的意思，Trunk中文翻译成―中继‖的意思，把交换机和路由器的一个端口设置成Trunk后，可以通过这个端口实现多个VLAN间的通信。

Trunk的几种模式：

OFF（access）：将接口设置为永久的访问模式，并且协商将链路转换为非Trunk模式，即使邻居接口不接受这种转换，此接口也会成为非干道接口。

Trunk：将接口永久转换为Trunk模式并且协商将链路转换为TRANK模式，即使邻居接口不接受这种转换，此接口也会成为干道接口。

非协商（Nonegotiate）：将接口设置为永久的Trunk模式，并且拒绝协商不发DTP，也不接收DTP。为了建立干道链路，用户必须手动将邻接接口配置为干道接口，如果所连接的设备不支持DTP，那么就适合采用这种模式。

企及（desirable）：似的接口主动尝试将链路转换为干道链路。如果邻接接口被设置为Trunk，desirable,auto模式，那么此接口可以成为干道接口，这种模式是CISCO IOS软件所有接口默认的模式。

自动（auto）：使得接口愿意将链路转换为干道链路。如果邻接接口被设置为Trunk或者企及模式的话就会转换为Trunk。

3、802.1Q与ISL之间的区别，相同点，另报头？

对VLAN进行封装有两种协议.一种是思科专有的协议,叫做ISL。另一种是RFC公有的协议叫做802.1Q、两种协议都是针对TRUNK承载不同VLAN为防止混乱而产生的。

802.1Q采用标记机制，每个帧都被标记，能够承载多个VLAN的帧，识别帧所属的VLAN。与ISL相比，802.1Q/802.1P标准提供了内在的结构性优势。

1、与ISL相比，802.1Q具有更低的帧开销，所以802.1Q的效率比ISL略高。802.1Q的开销字节是4字节，而ISL的开销是30字节。

2、802.1Q是一种业界的标准协议，并且得到业界的广泛支持。

3、802.1Q支持QoS的802.1P字段。

ISL协议和802.1Q的区别在于针对native vlan是否打标。ISL是全部都打,有几个VLAN打几个标记,而.1Q协议除了VLAN1也就是native vlan不打标记之外其他的VLAN都打标记,作用都是一样的,都能让TRUNK识别不同的VLAN。那为什么不对VLAN1打标记呢.就是因为VLAN1中承载着许多信息.对native vlan标记是相当不利的。

报头：

802.1Q

ISL：

4、什么是natice VLAN，与trunk如何结合？

natice VLAN是802.1Q干道为转发未标记的帧。一个交换机只有一个native vlan。

natice VLAN的FRAME不打TAG，其他的要打TAG。native vlan 只针对trunk端口。是指该vlan在trunk端口传输的时候，不作802.1q标记。

1、 只在封装了802.1Q上的TRUNK才需要使用native 两端的native vlan必须一样.

2、native vlan类似于802.1Q 2003中的PVID.

3、native vlan中的所有端口都是untag,用于STP,CDP等管理协议的发送,也经常用于用户管理VLAN.

5、VTP的三种模式，他们之间的区分点和相同点，（VTP是用来干什么？）

VTP模式 特性

客户端（client） 客户端模式的交换机不能从CLI（command-line interface，命令行界面）创建、更改或删除VLAN

向其他交换机转发通告

能够将VLAN配置与从管理域中其他交换机所接收的最新信息进行同步

不能将VLAN配置保存到NVRAM中

服务器（server） 创建、修改和删除VLAN

向其他交换机发送或转发通告

能够将VLAN配置与从管理域中其他交换机所接收的最新信息进行同步

能够将VLAN配置保存到NVRAM中

透明（transparent）

只能在本地交换机中创建、删除和修改VLAN

能够将从相同管理域中其他交换机所接收的VTP通告进行转发

不能将VLAN配置与从管理域中其他交换机所接收的最信息进行同步

能够将VLAN配置保存到NVRAM中

关闭（off） 与透明模式相类似，区别在于关闭模式在干道接口处丢弃VTP通告

VTP的作用：VTP负责在VTP域内同步VLAN信息，这样就不必在每个交换上配置相同的VLAN信息．VTP最重要的作用是，将进行变动时可能会出现在的配置不一致性降至最低．

6、VTP的修剪过程？

VTP修剪是VTP的一个功能，它能减少中继端口上不必要的广播信息。VTP裁剪前,先看一个拓扑：

Switch6—–Switch5——Switch4——PC2

|

Switch3——Switch2

|

Switch1——PC1

PC1 和 PC2 都在 VLAN 100 下, PC1发出一个广播包。

当没有起用VTP裁剪的时候,PC1发出的广播包会通过交互机之间的trunk被传播到Switch

2-6 上，但是，真正需要转发这个广播包得其实只有Switch2和Switch4.3,5,6 上的trunk没有必要转发这个广播包。当VTP裁剪启用以后，凡是没有交换机上没有的VLAN，trunk上就不会通过这个VLAN的数据.但是有些特殊VLAN除外，例如 VLAN 1 等。

VTP裁剪的好处就是节约了带宽.想想,当一个VLAN的机器如果中了毒,狂发广播，那么这个广播流量就会透过所有的trunk，正常通信的带宽就会被挤占.启用了VTP后，不相干的VLAN的流量就不会从trunk流过了。

7、VTP采用什么形式更新？更新周期？什么是VTP的配置版本号？

VTP通过VTP通告进行更新。1、VTP通告以组播帧被发送；2、VTP服务器和客户端被同步到最新的版本号；3、每间隔5分钟或发生更改的时候，发送VTP通告。

VTP的通告的周期时间是5min；或者无论何时，只要VLAN配置发生变化就发送VTP通告。

VTP的配置版本号：

在VTP管理域中，有两个VTP版本可供采用，cisco catalyst型交换机既可运行版本1，也可运行版本2，但是，一个管理域中，这两个版本是不可互操作的。因此，在同一个VTP域中，每台交换机必须配置相同的VTP版本。交换机上默认的版本协议是VTP版本1,如果要在域中使用版本2，只要在一台服务器模式交换机配置VTP版本2就可以了。

VTP版本2增加了版本1所没有的以下主要功能：

与版本相关的透明的模式：在VTP版本1中，一个VTP透明模式的交换机在用VTP转发信息给其他交换机时，先检查VTP版本号和域名是否与本机相匹配。匹配时，才转发该消息。VTP版本2在转发信息时，不检查版本号和域名。

令牌环支持：VTP版本2支持令牌环交换和令牌环VLAN，这个是VTP版本2和版本1的最大区别。

8、STP生成树怎样堵塞端口的（802.1D也是一种STP）？

STP能够避免和消除网络中的环路，STP执行STA（生成树算法），为了找到冗余链路，STA在网络中选择一个参考点，然后确定到该参考点的冗余路径，参考点为生成树的根，如果STA发现冗余路径，那么它将选择到达根的单条路径，同时阻断所有其他冗余路径。如果当前的转发链路发生故障，那么被阻塞的端口能够继续收到BPDU（桥接协议数据单元），并且交换机能够通过该端口转发数据帧。如果存在多条冗余路径，那么就有可能多个端口都进入阻塞模式，当主链路发生故障的时候，STP将解除先前阻塞的某个端口。

9、什么是BPDU的格式？以及生成树端口的转化过程？

BPDU的格式的：

生成树端口状态：

10、什么是portfast端口？

PortFast端口：1、直接从阻塞状态进入转发状态，消除了端口转发数据之前所需要的30S经过侦听和学习状态的时间。2、只能用于接入端口，不能用于Trunk端口。3、不参与spanningtree转发。

11、IEEE标准协议？

IEEE 802.1D - Media Access Control (MAC) bridges STP

IEEE 802.1Q - Virtual Bridged Local Area Networks

IEEE 802.1W - Rapid Reconfiguration (Supp、to 802.1D) RSTP

IEEE 802.1S - Multiple Spanning Tree (Supp、to 802.1Q) MST

12、什么是快速生成树协议？STP、RSTP、MSTP的区别？

RSTP就是快速生成树协议，也即802.1w。

STP端口状态看上图，

RSTP为：

禁止，阻塞 和监听状态合并成 discarding

STP：

根端口，指定端口，阻塞端口

RSTP：

根端口，指定端口，替换端口，备份端口，丢弃端口。

替换端口：是阻塞从其他网桥接受根BPDU的端口。如果活跃的根端口发生故障，那么替代端口将会变成根端口

备份端口：备份端口是阻塞从端口所在网桥的共享LAN网段的指定端口接受根BPDU。如果指定端口发生故障，那么备份端口将成为指定端口

如果边缘端口接受到了BPDU的消息，那么它会立即放弃边缘端口的状态，并且成为一个正常的生成树端口。

STP需要等待2倍的转发时间，而RSTP不需要等到可以快速的直接的过度。

STP：IEEE Std 802.1D-1998定义，不能快速迁移。即使是在点对点链路或边缘端口，也必须等待2倍的forward delay的时间延迟，网络才能收敛。

RSTP：IEEE Std 802.1w定义，可以快速收敛，却存在以下缺陷：局域网内所有网桥共享一棵生成树，不能按vlan阻塞冗余链路。MSTP可以弥补这样缺陷，它允许不同vlan的流量沿各自的路径分发，从而为冗余链路提供了更好的负载分担机制。

MSTP：Multiple Spanning Tree Protocol多生成树协议。MSTP算法通过应用MSTP、STP或RSTP的桥任意互连的桥接网络，为分配给任一个特定VLAN的帧提供了简单而完备的连通性。MSTP允许不同VLAN的数据从各自的路径分发。各条路径建立在由LAN和

MST桥组成的MST域中的各个独立的多生成树实例的基础上。

当STP和RSTP混用时，STP会丢弃RSTP的BPU，当RSTP收到STP的BPDU的时候会在经过一个hello周期后（防止端口频繁切换），适配未STP模式。

当网络中支持STP的设备被拿走后，RSTP的设备不会自动切换为RSTP状态，因为设备不能察觉这种情况。

MSTP上存在一个IST（Internal Spanning Tree），相当于一个RSTP的进程，通过该IST和其它RSTP设备互通。整个MSTP的Region 对于CST（Common Spanning Tree）来说是一个虚拟的交换机。

13、Etherchannel的模型有哪些（三层对接）？以及产生的协议？

Etherchannel的模型：1、trunk 2、access 3、三层对接

pAGP（端口聚合协议）：

on：这种模式会强制端口不使用PAGP而形成Etherchannel 能够正确的工作，那么就要求链路伙伴的Etherchannel都处于on的模式。

off:这个模式能够防止端口形成Etherchannel。

AUTO：这个模式将使得端口进入被动协商状态，如果端口接受到PAGP数据包，那么就形成Etherchannel。虽然如此，但是这种模式的端口不会主动发起协商。auto是默认模式。

desirable：这种模式将使得端口利用PAGP进入形成Etherchannel的协商状态。在形成Etherchannel的时候，推荐模式是 desirable。

LACP（链路聚合控制协议）：

on：这种模式会强制端口不使用LACP而形成Etherchannel 能够正确的工作，那么就要求链路伙伴的Etherchannel都处于on的模式。

off:这个模式能够防止端口形成Etherchannel。

passive：这个模式将使得端口进入被动协商状态，如果端口接受到LACP数据包，那么就形成Etherchannel。虽然如此，但是这种模式的端口不会主动发起协商。passive是默认模式。

active：这种模式将使得端口利用LACP进入形成Etherchannel的协商状态。在形成Etherchannel的时候，推荐模式是 active。

14、什么是单臂路由？

具有支持链路聚集的接口的任意外部路由器就叫单臂路由器。

router

|

| 线路（负责多个vlan之间的的通信），因为是一条线路，在逻辑上分开，形象地叫单臂

|

Switch

sw----rt

如果交换机上分了若干的vlan，然后用一条trunk链路与路由器相连，vlan之间不能自己互相通讯，即是需要通过路由器通讯，这个时候一个包从路由器的一个口（比如e0）进去，

然后下一跳是那台交换机，所以是这个包还要从那个口出来，这就是单臂路由。

15、单臂路由和三层交换之间的区别？

单臂路由是VLAN间路由选择的一种解决方案，但却是一种不具扩展性的解决方案，即使在感到接口上增加外部路由器来完成VLAN间路由的任务，也不能超过50个VLAN。

单臂路由器特性要求在外部路由器和交换机之间使用ISL或802.1Q协议的干道。单个干道能够承载多个VLAN的流量。所能够提供的数据包交换速率区间仅是100000pps-1000000pps之间。当主机在单臂路由器配置中向其他子网发送流量的时候，他将把流量发往默认网关，即在外部路由器（单臂路由器）上所配置子接口的IP地址。这种情况与外部路由器或第三层交换机上配置使用SVI的请客相同。

三层交换直接居于硬件转发。硬件交换能够产生线速性能、可扩展性和高可用性，通常的数据包的交换吞吐量通常可达数百万PPS。

16 三层交换机的数据背板与控制背板作用

控制背板可以看作路由器，具有路由功能，以软件交换的方式对数据流的第一个包进行处理，然后对硬件交换组件（数据背板）进行程序处理，使数据背板为后续的数据包选择路由。数据背板可以看作交换机，按照控制背板写入的策略来快速转发数据包。

17 多层交换机的转发模式

·集中式转发：在一个专用的模块上作出转发决策，该模块是所有接口的枢纽，因此所有的 数据包和路由策略都必须进入中央引擎来选择路径。此外，采用集中式转发时，交换机 的交换性能取决于中央引擎的性能。Catalyst 4500,6500系列采用这种转发方式。

·分布式转发：三层交换机的接口或线路模块独立的作出转发决策。中央引擎将第三层转发 表，路由表，本地表进行同步。各个线路卡独立的作出决策，而无需中央引擎的帮助， 数据帧通过交换矩阵直接在端口间传输。Catalyst 6500装有分布式转发卡时为此种转发

方式。

18 HSRP,VRRP,GLBP的用途和区别 19 HSRP的具体建立过程

默认网关是用于前往所有非本地子网中的目的地的下一跳路由器地址，为了实现默认网关的冗余，可以指定多台路由器来模拟一台网关。具体的协议有：

·HSRP(hot standby routing protocol)热备份路由协议

·VRRP(virtual router rebundancy protlcol)虚拟路由冗余协议

·GLBP(gateway load balancing protocol)网关负载均衡协议

HSRP，是思科私有的协议，通过在冗余网关之间共享MAC地址提供了不间断的IP路径冗余。该协议由两台路由器之间共享虚拟的MAC地址和IP地址以及一个组播协议对VLAN接口和串行口进行监控。HSRP组包括下列实体：

一台活跃路由器：优先级最高的路由器，对目前前往虚拟IP地址的数据包转发，通过传

输Hello包来承担和保持其活跃状态

一台备用路由器：优先级次高的路由器，一直监视活跃路由器，并传输Hello包将自己的角色和状态告知组中其他路由器。在活跃路由器出现故障是取代他的位置。

其他HSRP成员：监视活跃和备用路由器，在它们出现故障时取代他们的位置。

HSRP建立过程中的状态：

1、初始状态：刚刚配置结束，不发送Hello包。

2、学习状态：路由器还不知道虚拟IP地址，也没收到活跃路由器发的Hello包，而是等待Hello包

3、监听状态：路由器刚知道虚拟IP地址，但还不知道谁是活跃，备用路由器。所有路由器都在这种状态时，准备选举活跃，备用路由器。

4、发言状态：处于此状态的路由器定期发送Hello包，积极参与选举。除非被选为活跃或备用路由器，否则一直处于此状态。选举：一开始所有路由器都宣布自己是备用路由器，然后比较优先级，若相同再看谁的IP地址高，选出活跃路由器，再选备用路由器。

5、活跃状态：活跃路由器的状态。

6、备用状态：备用路由器的状态。

配置HSRP

SW1(config-if)#standby 100 ip 192.168.12.1 //100是组号，IP 地址为虚拟IP地址

SW1(config-if)# no ip redirects

//关闭ICMP重定向，防止客户端发现路由器的真实IP,MAC地址

SW1(config-if)#standby 100 preempt

//配置HSRP抢先，在活跃路由器恢复后可以重新被选举为活跃路由器

SW1(config-if)#standby 100 timers 5 15

//配置定时器，5为hello包时间间隔，15为保持时间，单位秒

SW1(config-if)#standby 100 track f1/1 50 //配置接口跟踪，监视自己出数据的接口，默认打开，在F1/1挂掉时降低自己的优先级50，默认为10

VRRP，国际标准化组织的，与HSRP几乎完全相同。一点区别：

·HSRP虚拟IP地址不可以分配给具体设备，VRRP可以将虚拟IP分配具体设备

·HSRP的活跃路由器是要竞争的，VRRP分为两种情况：一是在虚拟IP地址没分配 给具体设备时，要竞选；二是虚拟IP地址分配给具体设备，则它为活跃状态。

原理： 某个接口的IP地址被用作VRRP的虚拟IP地址时，拥有该接口的路由器将是VRRP 组的主虚拟路由器。此外其优先级配为255，防止优先级高的接口赢得选举。VRRP 组路由器使用224.0.0.18组播地址来互相通信。

配置：

SW1(config)#int fa1/1

SW1(config-if)#no switchport //三层交换机上默认为2层接口，要转为3层接口

SW1(config-if)#ip add 129.1.1.1 255.255.255.0

SW1(config-if)#vrrp 100 ip 129.1.1.1 //将虚拟IP确定到本端口，100为VRRP组号

SW1(config-if)#vrrp 100 priority 150 //优先级150

SW1(config-if)#vrrp 100 track fa1/1 //端口跟踪

GLBP，思科私有的协议，旨在自动选择和同时使用多个网关，并自动检测活跃网关故障以切换到冗余路径。GLBP组可以有4台路由器用作IP的默认网关，它们被称作AVF(活动虚拟转发者),GLBP自动管理虚拟MAC 地址的分配，决定谁负责处理转发工作，并确定跟踪接口出现故障时依然存在转发路径，这是由组中的AVG（活动虚拟网关）完成的。

GLBP虚拟出一个IP地址并且不分配给具体设备，但此IP对应多个虚拟MAC地址。

配置：

SW1(config)#int vlan 4

SW1(config-if)#ip add 10.1.1.5 255.255.255.0

SW1(config-if)#glbp 100 ip 10.1.1.1 //配虚拟IP，必须在同一网段

SW1(config-if)#glbp 100 priority 150 //优先级

SW1(config-if)#glbp 100 timers msec 250 msec 750 // Hello包时间间隔和保持时间

20 无线技术

无线网络解决了无线环境下的数据交换问题，扩频无线技术主要使用三个无授权频段：900MHz,2.4GHz,5GHz,其中，900MHz和2.4GHz被称为ISM（工业，科学，医疗）频段，5GHz被称为UNII（无授权国家信息基础实施）频段。

具体对应的频率：

·900MHz频段－－902MHz～928MHz

·2.4GHz频段－－2.4GHz～2.483GHz

·5GHz频段－－5.150GHz～5.350GHz，5.725GHz～5.785GHz

与有线通信的区别：

首先在于是否存在通信介质线缆，以太网采用CSMA/CD算法来避免冲突，无线采用CSMA/CA（载波侦听 多路访问 冲突避免）机制。

CA是当站点要等到活动站点传输完数据后它才能传输数据，就是这么一个过程，当一个站点传输数据时，其他站点就会向网络中通告自己通话的时间长度，其中活动站点传输完数据后发一个信息给其他站点，然后其他站点才能传输数据。如果这个时间两个站点传输数据了，其他站点就收不到这个信息，就认为是冲突，这两个站点通过后退算法计算等待时间。

保密机制，无线的保密机制比较弱，容易被攻破，而以太网保密技术已经比较成熟。移动性，无线终端具有一定的移动性，并且可以在移动中通信，实现漫游，而有线则不具有这个优势。

21 无线技术使用的协议802.11a 802.11b 802.11g，及其区别

802.11a工作在5GHz频段，编码方式为OFDM 信道为12～23，都不互相重叠 。

802.11b和802.11g都工作在2.4GHz频段，802.11b编码方式为DSSS,802.1g编码方式为DSSS和OFDM 。因此802.11g向后兼容802.11b，并使用相同的非重叠信道，它们支持3个非重叠信道：1，6，11。它们定义了安全、加密、验证的标准。

802.11b数据速率分别为11、5.5 、2 、1Mbps.

802.11g数据速率分别为 54、48、36、24、28、12、9、6Mbps 。

22 WEP,WPA,WPA2三种无线加密方式的区别

WEP安全加密方式

全称为有线对等保密（Wired Equivalent Privacy，WEP）是一种数据加密算法，用于提供等同于有线局域网的保护能力。使用了该技术的无线局域网，所有客户端与无线接入点的数据都会以一个共享的密钥进行加密，密钥的长度有40位至256位两种。

WPA安全加密方式

WPA加密即Wi-Fi Protected Access，其加密特性决定了它比WEP更难以入侵。

WPA作为IEEE 802.11通用的加密机制WEP的升级版，在安全的防护上比WEP更为周密，主要体现在身份认证、加密机制和数据包检查等方面，而且它还提升了无线网络的治理能力。

WPA、WEP对比

WPA与WEP不同，WEP使用一个静态的密钥来加密所有的通信。WPA不断的转换密钥。WPA采用有效的密钥分发机制，可以跨越不同厂商的无线网卡实现应用。另外WPA的另一个优势是，它使公共场所和学术环境安全地部署无线网络成为可能。而在此之前，这些场所一直不能使用WEP。WEP的缺陷在于其加密密钥为静态密钥而非动态密钥。这意味着，为了更新密钥，IT人员必须亲自访问每台机器，而这在学术环境和公共场所是不可能的。另一种办法是让密钥保持不变，而这会使用户轻易受到攻击。

WPA2支持“AES”加密方式。除此之外，与过去的WPA相比在功能方面没有大的区别。

23 MAC ,VLAN攻击的具体原理和解决方案

MAC攻击原理：

交换机主动学习客户端的 MAC 地址，并建立和维护端口和 MAC 地址的对应表以此建立交换路径，这个表就是通常我们所说的 CAM 表。 CAM 表的大小是固定的，不同的交换机的 CAM 表大小不同。 MAC/CAM 攻击是指利用工具产生欺骗 MAC ，快速填满

CAM 表，交换机 CAM 表被填满后，流量以洪泛方式发送到所有接口，这时攻击者可以利用各种嗅探攻击获取网络信息。 同时，trunk接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包甚至瘫痪。

防御方法：

思科 Port Security 特性可以防止 MAC 和 MAC/CAM 攻击。通过配置 Port Security

可以控制：

• 端口上最大可以通过的 MAC 地址数量

• 端口上学习或通过哪些 MAC 地址

• 对于超过规定数量的 MAC 处理进行违背处理

端口上学习或通过哪些 MAC 地址，可以通过静态手工定义，也可以在交换机自动学习。交换机动态学习端口 MAC ，直到指定的 MAC 地址数量，交换机关机后重新学习。目前较新的技术是 Sticky Port Security ，交换机将学到的 mac 地址写到端口配置中，交换机重启后配置仍然存在。

对于超过规定数量的 MAC 处理进行处理一般有三种方式（针对交换机型号会有所不同）：

• Shutdown 这种方式保护能力最强，但是对于一些情况可能会为管理带来麻烦，如

某台设备中了病毒，病毒间断性伪造源 MAC 在网络中发送报文。

• Protect 丢弃非法流量，不报警。

• Restrict 丢弃非法流量，报警，对比protect，交换机 CPU 利用率上升但是不影响交 换机的正常使用。推荐使用这种方式。

配置 ：

Cat4507(config)#int fastEthernet 3/48

Cat4507 (config-if)#switchport port-security //打开接口安全特性

Cat4507 (config-if)#switchport port-security maximum 2 //定义最大MAC地址数

Cat4507 (config-if)#switchport port-security mac-address 32 //具体地址

Cat4507 (config-if)#switchport port-security violation shutdown //违背处理方式

Cat4507 (config)#errdisable recovery cause psecure-violation //恢复方法

Cat4507 (config)#errdisable recovery interval 30

此外，采用 DAI（动态ARP解析） 技术也可以防范 MAC 地址欺骗，在后面会讲到。

VLAN攻击包括两种方式：

第一种是交换机端口的默认选择auto模式的干道，再接收到DTP帧后，交换机将形成干道端口。攻击者恶意发送DTP帧，接到该帧后交换机形成干道端口，攻击者能够访问攻击干道上的任何VLAN中的设备。

防护这种攻击的方法相对简单。通过将所有的用户端口配置为access模式或host模式就可以了。

即使交换机端口关闭了链路聚集特性，也仍然可能发生第二种形式的VLAN攻击。攻击者发送双重802.1Q标记的帧。这种攻击不仅要求客户端位于攻击交换机之外的其他交换机中，还要求两台交换机通过与攻击者相同的VLAN连接到一起。由于trunk链路一般默认处于native VLAN上，所以上述两条要求容易满足。

如图：

攻击者发送的带有双重802.1Q标记的帧外部标记为攻击者所处的VLAN10，内部标记为要攻击的VLAN20。接受到帧后，交换机2将删除外部标记，但不能删除内部标记，因为它不能识别这个标记，他的MAC地址表中没有相应的条目，所以该帧将被泛洪到VLAN10的所有端口，从而传递到下一交换机3，然后交换机3将删除VLAN20的标记，并将数据包转发给位于VLAN20的主机D，达到攻击的目的。

为了防护双重标记802.1Q的VLAN攻击，需要交换机之间的干道native vlan不是用户的VLAN。如把交换机2和3之间的trunk链路划到其他的VLAN中就可以限定攻击流量在其自己的VLAN中。

24 VLAN中的ACL（VACL）

VACL又称为VLAN访问控制列表，应用于VLAN中的所有通信流。同路由中的ACL一样，其顺序也非常重要。

VACL的操作：

·转发：向通常那样转发帧

·丢弃：流与某个ACL丢弃条目匹配后将其丢弃

·重定向：流与某个ACL重定向条目匹配后将从某个确切的接口转发

配置步骤：

1，指定VACL的名称和序列号

valn access-map map-name number

2，配置match子句

match ip address acl-number / acl-name

或match mac address acl-number / acl-name

3，配置ACL操作

action drop / forward /redirect fa1/2

4，VACL应用于VLAN

vlan filter map-name vlan-list list

例子：

交换机丢弃所有通过TCP端口10000进入的信息流。实际用途是防止internet蠕虫通过TCP端口10000传输信息。

SW1(config)#config terminal

SW1(config)#access-list 100 permit tcp any any eq 10000

SW1(config)#vlan access-map CCNP

SW1(config-access-map)#match ip address 100

SW1(config-access-map)#action drop

SW1(config-access-map)#exit

SW1(config)#vlan CCNP vlan-list 10

SW1(config)#end

25 私有VLAN(PVLAN)

私有VLAN(Private VLAN),是能够为相同的VLAN内不同的端口之间提供隔离的VLAN。每个PVALN包括两种VLAN：

·主VLAN：是PVLAN中的高级VLAN。主VLAN由多个辅助VLAN组成，并且辅助VLAN 助于主VLAN的相同的子网。

·辅助VLAN：是主VLAN的子代，并映射到一个主VLAN。每台设备都连接到辅助VLAN。

PVLAN中定义了混合端口（promiscuous），它能够与PVLAN中全部设备通讯。混合端口通常是主VLAN的一部分。每个混合端口可以映射到多个辅助VLAN。混合端口通常是路由器端口、备份服务端口。

辅助VLAN又包括如下两种类型：

·团体VLAN－－同一个团体VLAN中的端口可以互相通讯，并且还可以与PVLAN中的混合端口通信。

·隔离VLAN－－如果端口属于隔离VLAN，那么它就只能与混合端口通信，不能与相同隔离VLAN中的其他端口通信。隔离VLAN中的端口称为隔离端口或受保护端口。

注意：1，PVLAN配置要求VTP版本1或2，并且工作在transparent模式。

2，禁止将第三层VLAN接口配置为辅助VLAN。

3，EtherChannel或span目标端口不支持私有VLAN。

配置例子：

如图

要求： VLAN 100为主VLAN，VLAN200为团体VLAN，VLAN300为隔离VALN 。

VLAN100接口允许对VLAN200V和LAN300的辅助VLAN入口流量进行路由选择。

SW1#config t

SW1(config)#vtp mode transparent //注意为透明模式

SW1(config)#vlan 100

SW1(config-vlan)#private-vlan primary //主VLAN

SW1(config-vlan)#vlan 200

SW1(config-vlan)#private-vlan community //团体VLAN

SW1(config-vlan)#vlan 300

SW1(config-vlan)#private-vlan isolated //隔离VALN

SW1(config-vlan)#vlan 100

SW1(config-vlan)#private-vlan association 200，300

//把主VLAN100与辅助VALN200，300关联起来

SW1(config-vlan)#int fa1/1

SW1(config-if)#switchport mode private-vlan promiscuous //定义为混合端口

SW1(config-if)#switchport private-vlan mapping 100 200

//把fa1/1端口划入VLAN100中，可以与VLAN200中的所有设备通信

SW1(config-if)#switchport private-vlan mapping 100 300

//把fa1/1端口划入VLAN100中，可以与VLAN300中的所有设备通信

SW1(config-if)#int fa1/11

SW1(config-if)#switchport mode private-vlan host //定义为主机模式

SW1(config-if)#switchport private-vlan host-association 100 200

//表示此端口可以同VLAN100通信

SW1(config-if)#int fa1/12

SW1(config-if)#switchport mode private-vlan host //定义为主机模式

SW1(config-if)#switchport private-vlan host-association 100 300

//表示此端口可以同VLAN100通信

SW1(config-if)#int vlan 100

SW1(config-if)#ip add 192.168.10.1 255.255.255.0

SW1(config-if)#private-vlan mapping add 200,300

SW1(config-if)#no sh

26 DHCP欺骗

采用 DHCP server 可以自动为用户设置网络 IP 地址、掩码、网关、 DNS 、 WINS 等网络参数，简化了用户网络设置，提高了管理效率。但在 DHCP 管理使用上也存在着一些令网管人员比较头疼的问题，常见的有：

• DHCP server 的冒充。

• DHCP server 的 Dos 攻击。

• 有些用户随便指定地址，造成网络地址冲突。

由于 DHCP 的运作机制，通常服务器和客户端没有认证机制，如果网络上存在多台

DHCP 服务器将会给网络照成混乱。由于用户不小心配置了 DHCP 服务器引起的网络混乱非常常见，足可见故意人为破坏的简单性。通常黑客攻击是首先将正常的 DHCP 服务器所能分配的 IP 地址耗尽，然后冒充合法的 DHCP 服务器。最为隐蔽和危险的方法是黑客利用冒充的 DHCP 服务器，为用户分配一个经过修改的 DNS server ，在用户毫无察觉的情况下被引导在预先配置好的假金融网站或电子商务网站，骗取用户帐户和密码，这种攻击是非常恶劣的。

对于 DHCP server 的 Dos 攻击可以利用前面讲的 Port Security 和后面的 DAI 技术解决；对于有些用户随便指定地址，造成网络地址冲突也可以利用 IP Source Guard 和 DAI

技术。

先介绍 DHCP 监听技术 ：

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤来自网络中主机和其他设备的不信任的DHCP信息。DHCP Snooping绑定表包含不信任区域的用户MAC地址、IP地址、租用期、VLAN-ID 接口等信息。 交换机支持在每个VALN基础上启用DHCP监听特性，拦截2层VLAN域中所有的DHCP包，把入站模块，端口，VLAN，MAC地址等信息添加到数据包中。DHCP服务器能够跟踪DHCP地址池中所分配的地址。

通过这种特性，交换机能够限制终端用户（非信任端口）只能发送DHCP请求，并且将丢弃来自用户端口的所有其他DHCP包。

信任端口能够发送或接受所有DHCP报文，交换机也只允许DHCP服务器能过通过的DHCP响应来分发DHCP地址。

这种方法能够避免用户自己建立自己的DHCP服务器来分发非授权的地址。

一般的拓扑中配置如下图：

配置例子：

需求 ：在交换机SW1上配置VLAN10的DHCP监听。DHCP服务器接在Fa4/10端口，客

户机接在模块Fa3的所有端口。此外为了避免DHCP的DOS攻击，配置DHCP请

求的限速。

SW1(config)#ip dhcp snooping //打开DHCP监听功能

SW1(config)#ip dhcp snooping vlan 10 //定义哪些VLAN启用DHCP监听

SW1(config)#int fa4/10

SW1(config-if)#ip dhcp snooping trust //信任端口

SW1(config-if)#int rang fa3/1 -48 //模块3的所有端口

SW1(config-if-range)#no ip dhcp snooping trust //默认非信任状态，可以不配

SW1(config-if-range)#ip dhcp snooping limit rate 100 //DHCP请求的限速，单位bps

然后是 IP源防护技术 IPSG（source guard）

配置在2层非信任端口上，用来检查源IP地址与源MAC地址是否完全匹配，需要DHCP

snooping或IP源绑定技术的支持。

通过配置IPSG，在链路up时，只有DHCP数据包可通过。一但DHCP服务器分配了IP地址，那么将更新DHCP绑定表。IPSG自动加载端口的ACL，将客户端流量限制在绑定表中所配置的源IP地址，这样防止主机从相邻主机夺取IP地址实现网络攻击。

命令格式：

源MAC地址与IP地址相匹配：

ip verify source vlan dhcp-snooping port-securing（接口命令）

静态IP源地址绑定：

ip source binding mac-address vlan vlan-id ip-address int fa1/2(全局命令)

配置例子：

需求 工作站采用DHCP来获得地址，DHCP为静态分配的地址

SW1(config)#ip dhcp snooping

SW1(config)#ip dhcp snooping vlan 1,10

SW1(config)#ip dhcp snooping verify mac-address

//检测从一个非信任端口接收到的DHCP packets的source MAC地址是否与包的源客户机的真实MAC地址匹配，默认打开。

SW1(config)#ip source binding 0000.000a.000b vlan 10 10.1.10.11 int fa1/11

//静态IP源地址绑定

SW1(config)#int fa1/11

SW1(config-fi)#switchport

SW1(config-fi)#switchport mode access

SW1(config-fi)#switchport port-security

SW1(config-fi)#int fa1/5

SW1(config-fi)#switchport

SW1(config-fi)#switchport mode access

SW1(config-fi)#switchport port-security

SW1(config-fi)#ip verify source vlan dhcp-snooping port-security //打开IPSG

SW1(config-fi)end

最后是 动态ARP检测 DAI（dynamic arp inspection）

DAI是一种能够验证网络中ARP包的安全特性。通过DAI，网管能够拦截，记录和丢弃具有无效MAC地址和IP地址绑定的ARP数据包，因此DAI 可以防止“中间人”攻击。

“中间人攻击”——如图：

//打开端口安全特性

SW1(config-fi)#ip verify source vlan dhcp-snooping port-security //打开IPSG

正常情况，主机1要与主机2通讯，则向交换机发送主机2的MAC地址的ARP请求。交换机广播请求，主机2收到请求，在ARP缓存中创建或更新主机1的MAC地址，IP地址，然后发送ARP响应。CP1收到响应后，更新主机2的ARP条目。

主机3在主机1发动攻击，在交换机广播主机1的请求时，发送伪造的广播ARP响应，将自己的MAC地址替代主机2的MAC地址，则主机1收到响应后将拥有主机3的MAC，

IP地址。然后主机3就能伪造主机1的IP地址来响应主机2对主机1的ARP请求，并采用自己的MAC地址，主机2就会将主机3的MAC地址映射到主机1的IP地址。从此，主机1 与主机2之间的任何通信都会先发到主机3，主机3阅读后重新定向。

实用案例：

如图，各个端口的DAI 信任为图上标记（此处的信任端口为DAI信任端口，非信任也是DAI）。交换机之间链路为VLAN 10

首先要在SW1,SW2上都打开DHCP监听，交换机之间的端口配置为DAI信任端口，而用户端口则采用默认为非信任端口。

配置：

SW1(config)#ip dhcp snooping

SW1(config)#ip dhcp snooping vlan 10

SW1(config)#ip arp inspection vlan 10 //采用ARP检测的VLAN

SW1(config)#int fa1/2

SW1(config-if)#ip arp inspection trust //DAI信任端口

SW1(config-if)#end

SW2(config)#ip dhcp snooping

SW2(config)#ip dhcp snooping vlan 10

SW2(config)#ip arp inspection vlan 10 //采用ARP检测的VLAN

SW2(config)#int fa1/1

SW2(config-if)#ip arp inspection trust //DAI信任端口

SW2(config-if)#end

如果攻击者连接到SW2并试图发送虚假的ARP请求，SW2将检测到这种行为，并丢弃ARP请求包，该端口将进入err-disabled状态或关闭状态。

27 BPDU 防护（guard）和BPDU 过滤(filter)

Stp生成树的portfast能够使2层端口直接进入转发状态，来加快STP的收敛速度，而BPDU防护能够防止交换机意外的连接到启用portfast的端口。

当启用了portfast特性的端口收到BPDU的时候，BPDU guard能使其进入err disable状态而不是进入生成树的阻赛状态（默认）。要想重新使用必须手工打开或等待err disable 时间过后。

全局命令：spanning-tree portfast bpduguard

BUDU Filter特性能防止交换机在启用portfast特性的端口上发送BUDU包。对于配置了portfast的端口，将丢弃所有接到的BPDU包。

如果在连接到其他交换机的端口上配了BPDU filter就很有可能导致桥接环路，所以，BPDU过滤不是推荐配置。

如果在一个端口上同时启用BPDU防护和BPDU过滤，则BPDU过滤优先级高，所有BUDU防护将不起做用。

全局命令：spanning-tree portfast bpdufilter dufault

如果全局打开BPDU过滤功能，端口在接受到任何BPDU时，交换机都将接口更改回正常的STP操作。

28 根防护 root guard

在STP网络发生异常时，根防护能有助于避免第2层环路。根防护特性能强制接口称为指定端口，进而防止交换机称为根交换机。

如果网桥在启动根防护的端口上收到上级BPDU（优先级更高的）包，那么端口将进入“不一致根”的STP状态（等于STP的监听状态），并且交换机不会从这个端口转发流量，从而巩固根网桥的地位。

用一个例子来说明：

图一中，交换机A和B为分布层＋核心层设备，C为接入层设备，由于存在冗余线路，根据STP，选举A为跟网桥，则B与C之间的链路一定处于阻塞状态。

图二，一个接入层交换机D接入网络，由于配置错误或是其他原因，D的优先级为最低，则当STP重新汇聚后D将成为新的跟网桥，根据STP的原则，B与C之间的链路将处于转发状态，而A与B之间的链路将处于阻塞状态，从而汇聚层＋核心层设备A,B之间的

通信必须经过接入层设备C，这很有可能导致拥塞，如果D的状态不稳定，会更加糟糕。

根防护能防止上述问题的发生。在A，B，C的所有端口上启用根防护特性，则当D接入，发送更好的BPDU数据包时，C会将自己接到D的端口置为STP阻塞状态。当D停止发送BPDU后，该端口会自动过渡到监听状态，然后逐步过渡到学习、转发状态，从而避免根网桥的“政变”问题。

配置命令：

接口下： spanning-tree guard root

29 环路防护（loop guard）

环路防护能对第二层转发环路提供额外的保护。当冗余拓扑中STP阻塞端口错误的过渡到转发状态时（多是由单向链路失效引起的），会发生环路。因为当冗余拓扑中的某个端口停止接收BPDU时，STP认为拓扑中已经没有环路了，阻塞端口就会逐步过渡到转发状态。在启用环路防护后，端口在过渡到转发状态之前会先执行检查，如果本接口启用了环路防护，在停止接受BPDU包后会依然处于阻塞状态。

例子：

正常情况下，A为根网桥，向B,C发送BPDU包，B，C之间也互相发送BPDU包，但它们之间的链路处于阻塞状态。因为某些故障，B,C之间放生单向链路故障，C发的包可以到B，但B发的包到不了C。如果没有环路防护，则C的端口就会过渡到转发状态，从而产生环路。但启用该特性后，C端口会依然处于阻塞状态。

应该在所有端口上启用环路防护。

接口命令： spanning-tree guard loop //只在本端口打开环路防护特性

全局命令： spanning-tree loopguard default //在所有端口打开环路防护特性

注意！环路防护不能与根防护共存于同一个端口。

30 UDLD技术

当链路为UP状态，但是端口却没有传递流量时，UDLD协议能够检测到交换机端口上单向链路的情形。这种情况常会出现在以下几种情况中：吉比特接口转换器的接口故障，软件故障，硬件失效等。

UDLD为2层协议，启用后，交换机定期地向邻居发送UDLD协议数据包，并期望在预计定时器到期之前收到回应数据包。如果计数器到期，那么交换机确定该链路是单向链路，

并且关闭该接口。

UDLD数据包包括下列信息：发送端的设备ID，端口ID，邻居的设备ID，邻居的端口ID。如果邻居也启用了UDLD，那么他将发送相同的hello消息。如果链路两侧的设备都收到对方的UDLD包，则链路是双向的。

命令：

在接口模式下： udld port aggressive

最大用处在避免STP环路，类似于环路防护。