1、需要控制平面行为的场合

局域网安全14 屏蔽控制平面协议_平面

 

2、安全的屏蔽控制平面行为

1)协议屏蔽+VACL

(1)屏蔽STP

Switch(config-if)#spanning-tree bpduguard enable

(2)屏蔽链路聚合协议

Switch(config-if)#no channel-group

(3)屏蔽VTP

set port channel 0/1 mode off   仅支持于VTP版本3,ciscoIOS不支持 

(4)屏蔽DTP

Switch(config-if)#switchport mode access

5屏蔽HSRPVRRP

(6)屏蔽管理协议和路由协议

(7)使用ACL

·    发送Cisco多播地址 0100.0CCC.CCCC 的帧。CDP(0x2000)、VTP(0x2003)、DTP(0x2004)、PAgP(0x0104)

·    送往IEEE慢速协议多播地址 0180.C200.0002的帧。LACP(0x8809)

Switch(config)#mac access-list extended macacl

Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 0104 0

Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2000 0

Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2003 0

Switch(config-ext-macl)#permit any host 0100.0CCC.CCCC 2004 0

Switch(config-ext-macl)#permit any host 0180.C200.0002 8809 0

Switch(config)#vlan access-map mymap

Switch(config-access-map)#match mac address macacl

Switch(config-access-map)#action drop

2)屏蔽其他控制平面行为

(1)生成ICMP消息

·    Administrator prohibited(ICMP强制制止消息):ACL丢弃数据包时生成该消息

·    TTL expired:TTL为0时

·    需要分片:有助于MTU发现

·    目标不可达:硬件CoPP亦可以抵挡

Switch(config)#ip icmp rate-limit unreachable 10

Switch(config-if)#no ip unreachable

(2)控制IPv6、802.1x

较老平台转发IPv6时使用进程交换(现在都是CEF)。依赖于硬件辅助,否则对IPv6合理限速(以太网类型:0x86DD)

Switch(config)#mac access-list extended macacl

Switch(config-ext-macl)#permit any any 86DD 0

(3)智能端口宏

·    cisco-桌面:cisco-desktop

·    cisco-电话:cisco-phone

配置

Switch(config-if)#macro apply cisco-desktop $access_vlan 10  //自动生成配置