二层安全的最佳推荐做法
>要使用安全的方式管理交换机,比如SSH协议、认证机制、访问列表、设置优先级别等。
>要限制交换机的管理访问,让那些位于不信任网络中的用户无法通过接口或者协议(比如SNMP)管理设备。
>为所有的trunk端口分配一个单独的VLAN ID。
>要有安全意识,不要用一个vlan 1 解决所有问题。
>要在所有非trunk端口上禁用DTP。
>使用端口安全特性来阻止未经授权的访问。
>在适当的环境中,使用PVLAN特性来隔离二层的流量。
>在适当的环境中,启用MD5认证。
>全面禁用CDP功能。
>禁用那些不常用的服务和协议,这可以防止DOS及其他消耗系统资源的功击方式。
>关掉交换上所有不会使用的接口,并且把它们划进一个不作日常使用的VLAN里面去。
>使用端口安全机制来防止MAC泛洪攻击。
>在适当的环境中,运用端口级别的安全特性,比如DHCP snooping,IP源保护和ARP安全。
>启用一些生成树协议特性(比如BPDU防护和根防护)。
>使用交换机IOS ACL和线速ACL来过滤不需要的流量(包括IP和非IP流量)。
