局域网安全11 cisco辅助协议
1、CDP1)以太网多播地址:0100.0CCC.CCCC
2)信息泄漏
· 软件版本和硬件平台
· 辅助VLAN:知道IP电话的vlan
3)CDP***
(1)CDP缓存溢出:软件bug,引发重启,已修复。
(2)虚假CDP缓存
(3)电能枯竭
4)缓解CDP的风险
接用户端关闭CDP,连接上行链路、IP电话和被管理设备不关闭
5)推荐使用
· IP电话部署
· 网络运行
· 故障排除
2、IEEE链路层发现协议(LLDP)
1)IEEE 802.1AB
2)0180.C200.000E
3)以太网类型
4)数据包格式:TLV
5)与CDP相同
3、VLAN Trunking(VTP)
1)与CDP相同:0100.0CCC.CCCC
2)VTPv3包含以下元素
· 管理域
· 管理域长度
· MD5 HMAC
· 修订号
· 更新者身份
· 更新时间戳
3)VTPv3特性
· 每端口配置
· HMAC认证:密码加密、防重放
· 修订号
4)VTP风险分析
· 启用MD5认证
· 仅v3能防重放
· 仅在真实trunk上启用VTP
PS:不使用VTP,若使用必须加密
4、链路聚合协议
1)实现聚合的协议
(1)端口聚合协议(Port Aggregation Protocol,PAgP)cisco私有
· 组播地址:0100.0CCC.CCCC
· 无内置安全机制
(2)链路聚合控制协议(Link Aggregation Control protocol,LACP)IEEE 802.3ad
· 组播地址:0180.C200.0002
· 无内置安全机制
2)风险分析
(1)伪造控制数据包,将***者所在的链路追加到聚合端口,因为负载均衡,能收到1/n的流量
· DoS:1/n流量丢失
· 缺乏机密性和完整性:截获的信息可被分析
· ***不容易,风险小
(2)风险缓解
Switch(config)#int f0/24
Switch(config-if)#no channel-group
PS:聚合链路只能作用于trunk,所以禁用trunk行为即可
页:
[1]