通信的每一層中都有自己獨特的安全問題。數(shù)據(jù)鏈路層（第二協(xié)議層）的通信連接就安全而言，是較為薄弱的環(huán)節(jié)。網(wǎng)絡(luò)安全的問題應(yīng)該在多個協(xié)議層針對不同的弱點進行解決。在本篇文章中，我們將集中討論與有線局域網(wǎng)相關(guān)的安全問題。 
在第二協(xié)議層的通信中，交換機是關(guān)鍵的部件，它們也用于第三協(xié)議層的通信。對于相同的第三協(xié)議層的許多攻擊和許多獨特的網(wǎng)絡(luò)攻擊，它們和路由器都會很敏感，這些攻擊包括：

內(nèi)容尋址存儲器（CAM）表格淹沒：交換機中的 CAM 表格包含了諸如在指定交換機的物理端口所提供的 MAC 地址和相關(guān)的 VLAN 參數(shù)之類的信息。一個典型的網(wǎng)絡(luò)侵入者會向該交換機提供大量的無效 MAC 源地址，直到 CAM 表格被添滿。當這種情況發(fā)生的時候，交換機會將傳輸進來的信息向所有的端口發(fā)送，因為這時交換機不能夠從 CAM 表格中查找出特定的 MAC 地址的端口號。CAM 表格淹沒只會導(dǎo)致交換機在本地 VLAN 范圍內(nèi)到處發(fā)送信息，所以侵入者只能夠看到自己所連接到的本地 VLAN 中的信息。
VLAN 中繼：VLAN 中繼是一種網(wǎng)絡(luò)攻擊，由一終端系統(tǒng)發(fā)出以位于不同 VLAN 上的系統(tǒng)為目標地址的數(shù)據(jù)包，而該系統(tǒng)不可以采用常規(guī)的方法被連接。該信息被附加上不同于該終端系統(tǒng)所屬網(wǎng)絡(luò) VLAN ID 的標簽�；蛘甙l(fā)出攻擊的系統(tǒng)偽裝成交換機并對中繼進行處理，以便于攻擊者能夠收發(fā)其它 VLAN 之間的通信。
操縱生成樹協(xié)議：生成樹協(xié)議可用于交換網(wǎng)絡(luò)中以防止在以太網(wǎng)拓樸結(jié)構(gòu)中產(chǎn)生橋接循環(huán)。通過攻擊生成樹協(xié)議，網(wǎng)絡(luò)攻擊者希望將自己的系統(tǒng)偽裝成該拓樸結(jié)構(gòu)中的根網(wǎng)橋。要達到此目的，網(wǎng)絡(luò)攻擊者需要向外廣播生成樹協(xié)議配置/拓樸結(jié)構(gòu)改變網(wǎng)橋協(xié)議數(shù)據(jù)單元（BPDU），企圖迫使生成樹進行重新計算。網(wǎng)絡(luò)攻擊者系統(tǒng)發(fā)出的 BPDU 聲稱發(fā)出攻擊的網(wǎng)橋優(yōu)先權(quán)較低。如果獲得成功，該網(wǎng)絡(luò)攻擊者能夠獲得各種各樣的數(shù)據(jù)幀。
媒體存取控制地址（MAC）欺騙：在進行 MAC 欺騙攻擊的過程中，已知某其它主機的 MAC 地址會被用來使目標交換機向攻擊者轉(zhuǎn)發(fā)以該主機為目的地址的數(shù)據(jù)幀。通過發(fā)送帶有該主機以太網(wǎng)源地址的單個數(shù)據(jù)幀的辦法，網(wǎng)絡(luò)攻擊者改寫了 CAM 表格中的條目，使得交換機將以該主機為目的地址的數(shù)據(jù)包轉(zhuǎn)發(fā)給該網(wǎng)絡(luò)攻擊者。除非該主機向外發(fā)送信息，否則它不會收到任何信息。當該主機向外發(fā)送信息的時候，CAM 表中對應(yīng)的條目會被再次改寫，以便它能恢復(fù)到原始的端口。
地址解析協(xié)議（ARP）攻擊：ARP 協(xié)議的作用是在處于同一個子網(wǎng)中的主機所構(gòu)成的局域網(wǎng)部分中將 IP 地址映射到 MAC 地址。當有人在未獲得授權(quán)時就企圖更改 MAC 和 IP 地址的 ARP 表格中的信息時，就發(fā)生了 ARP 攻擊。通過這種方式，黑客們可以偽造 MAC 或 IP 地址，以便實施如下的兩種攻擊：服務(wù)拒絕和中間人攻擊。
專用 VLAN：專用 VLAN 通過限制 VLAN 中能夠與同 VLAN 中其它端口進行通信的端口的方式進行工作。VLAN 中的孤立端口只能和混合端口進行通信�；旌隙丝谀軌蚝腿魏味丝谶M行通信。能夠繞過專用 VLAN 安全措施的攻擊的實現(xiàn)要使用繞過專用 VLAN 訪問限制的代理。
耗竭：DHCP 耗竭的攻擊通過利用偽造的 MAC 地址來廣播 DHCP 請求的方式來進行。利用諸如 gobbler 之類的攻擊工具就可以很容易地造成這種情況。如果所發(fā)出的請求足夠多的話，網(wǎng)絡(luò)攻擊者就可以在一段時間內(nèi)耗竭向 DHCP 服務(wù)器所提供的地址空間。這是一種比較簡單的資源耗竭的攻擊手段，就像 SYN 泛濫一樣。然后網(wǎng)絡(luò)攻擊者可以在自己的系統(tǒng)中建立起虛假的 DHCP 服務(wù)器來對網(wǎng)絡(luò)上客戶發(fā)出的新 DHCP 請求作出反應(yīng)。
降低局域網(wǎng)安全風險

在交換機上配置端口安全選項可以防止 CAM 表淹沒攻擊。該選擇項要么可以提供特定交換機端口的 MAC 地址說明，要么可以提供一個交換機端口可以習(xí)得的 MAC 地址的數(shù)目方面的說明。當無效的 MAC 地址在該端口被檢測出來之后，該交換機要么可以阻止所提供的 MAC 地址，要么可以關(guān)閉該端口。

對 VLAN 的設(shè)置稍作幾處改動就可以防止 VLAN 中繼攻擊。這其中最大的要點在于所有中繼端口上都要使用專門的 VLAN ID。同時也要禁用所有使用不到的交換機端口并將它們安排在使用不到的 VLAN 中。通過明確的辦法，關(guān)閉掉所有用戶端口上的 DTP，這樣就可以將所有端口設(shè)置成非中繼模式。

要防止操縱生成樹協(xié)議的攻擊，需要使用根目錄保護和 BPDU 保護加強命令來保持網(wǎng)絡(luò)中主網(wǎng)橋的位置不發(fā)生改變，同時也可以強化生成樹協(xié)議的域邊界。根目錄保護功能可提供保持主網(wǎng)橋位置不變的方法。生成樹協(xié)議 BPDU 保護使得網(wǎng)絡(luò)設(shè)計者能夠保持有源網(wǎng)絡(luò)拓樸結(jié)構(gòu)的可預(yù)測性。盡管 BPDU 保護也許看起來是沒有必要的，因為管理員可以將網(wǎng)絡(luò)優(yōu)先權(quán)調(diào)至0，但仍然不能保證它將被選做主網(wǎng)橋，因為可能存在一個優(yōu)先權(quán)為0但ID卻更低的網(wǎng)橋。使用在面向用戶的端口中，BPDU 保護能夠發(fā)揮出最佳的用途，能夠防止攻擊者利用偽造交換機進行網(wǎng)絡(luò)擴展。

使用端口安全命令可以防止 MAC 欺騙攻擊。端口安全命令能夠提供指定系統(tǒng) MAC 地址連接到特定端口的功能。該命令在端口的安全遭到破壞時，還能夠提供指定需要采取何種措施的能力。然而，如同防止 CAM 表淹沒攻擊一樣，在每一個端口上都要指定一個 MAC 地址是一種難辦的解決方案。在界面設(shè)置菜單中選擇計時的功能，并設(shè)定一個條目在 ARP 緩存中可以持續(xù)的時長，能夠達到防止 ARP 欺騙的目的。

對路由器端口訪問控制列表（ACL）進行設(shè)置可以防止專用 VLAN 攻擊。虛擬的 ACL 還可以用于消除專用 VLAN 攻擊的影響。

通過限制交換機端口的 MAC 地址的數(shù)目，防止 CAM 表淹沒的技術(shù)也可以防止 DHCP 耗竭。隨著 RFC 3118，DHCP 消息驗證的執(zhí)行，DHCP 耗竭攻擊將會變得越來越困難。

另外，IEEE802.1X 還能夠在數(shù)據(jù)鏈路層對基本的網(wǎng)絡(luò)訪問進行監(jiān)測，它本身是一種在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)中傳送可擴展驗證協(xié)議（EAP）架構(gòu)的標準。在未完成驗證的情況下 801.1X 就拒絕對網(wǎng)絡(luò)的訪問，進而可以防止對網(wǎng)絡(luò)基礎(chǔ)設(shè)備實施的，并依賴基本 IP 連接的多種攻擊。802.1X 的初始編寫目標是用于拔號連接和遠程訪問網(wǎng)絡(luò)中的點對點協(xié)議（PPP），它現(xiàn)在支持在局域網(wǎng)的環(huán)境中使用 EAP，包括無線局域網(wǎng)。<>

【相關(guān)文章】

• 網(wǎng)絡(luò)基礎(chǔ)知識講座之四：理解數(shù)據(jù)鏈路層

• ATM教程：數(shù)據(jù)鏈路層

• 調(diào)整思路：用交換機解決局域網(wǎng)安全