针对网络第二层的攻击是最容易实施、也是最不容易被发现的安全威胁，它可以使网络瘫痪或者通过非法获取密码等敏感信息的方式来危及网络用户的安全。由于任何一个合法用户都能获取一个以太网端口的访问权限，而这些用户都有可能成为黑客；同时，由于设计OSI模型的时候，允许不同通信层处于相对独立的工作模式，因此承载所有客户关键应用的网络第二层的安全就变得至关重要。

根据安全威胁的特征分析，来自于网络第二层的攻击主要包括：MAC地址泛滥攻击、DHCP服务器欺骗攻击、ARP欺骗、IP/MAC地址欺骗。

Cisco Catalyst 智能交换系列的创新安全特性针对这类攻击提供了全面的解决方案，将发生在网络第二层的攻击阻止在通往企业内部网络的入口处。其实现主要基于四个关键的技术：Port Security、DHCP Snooping 、Dynamic ARP Inspection (DAI)、IP Source Guard。

MAC地址泛滥攻击的防范

MAC泛滥攻击的原理和危害

交换机会主动学习客户端的MAC地址，建立、维护端口和MAC地址的对应表，以此建立交换路径，这个表就是通常我们所说的CAM表。MAC/CAM攻击是指黑客利用攻击工具发送大量带有虚假源MAC地址的数据包，这些新MAC地址被交换机CAM学习，很快塞满MAC地址表，这时发往新目的MAC地址的数据包就会被广播到交换机的所有端口，交换机就会像HUB一样工作，黑客则可以利用sniffer工具监听所有端口的数据流量。此类攻击不仅造成安全性的破坏，同时大量的广播包降低了交换机的性能。

防范方法

限制单个端口所连接的MAC地址数目,可以有效防止类似macof工具和SQL蠕虫病毒发起的攻击。Cisco Catalyst交换机的端口安全（Port Security）和动态端口安全功能可被用来阻止MAC泛滥攻击。

通过端口安全功能，网络管理员也可以静态设置每个端口所允许连接的合法MAC地址，实现设备级的安全授权。动态端口安全则设置端口允许合法MAC地址的数目，并以一定时间内所学习到的地址作为合法MAC地址。

通过配置Port  Security可以控制：端口上最大可以通过的MAC地址数量，端口上学习或通过哪些MAC地址，对于超过规定数量的接入设备进行相应的处理。

端口上允许哪些MAC地址接入，可以通过静态手工定义，也可以让交换机自动学习。交换机动态学习新接入设备的MAC，直到达到指定的MAC地址数量，超过数量的接入MAC将被拒绝，交换机重启后会重新学习。

对于超过规定数量的MAC一般有三种处理方式：Shutdown（端口关闭）；Protect（丢弃非法流量，不报警）；Restrict（丢弃非法流量，报警）。

DHCP欺骗攻击的防范

采用DHCP管理的常见问题

采用DHCP server可以自动为用户设置网络IP地址、掩码、网关、DNS等网络参数，简化了用户网络设置。但在DHCP管理使用上也存在着一些问题，常见的有：DHCP  server 的冒充，DHCP  server的DOS攻击，由于不小心配置了DHCP服务器引起的网络混乱也很常见。

黑客利用类似Goobler的工具可以发出大量带有不同源MAC地址的DHCP请求，直到DHCP服务器对应网段的所有地址被占用。此类攻击既可以造成DOS的破坏，也可和DHCP服务器欺诈结合，将流量重指到意图进行流量截取的恶意节点。

DHCP Snooping技术概述

DHCP Snooping技术是DHCP安全特性，通过建立和维护DHCP Snooping绑定表过滤不可信任的DHCP信息，这些信息是指来自不信任区域的DHCP信息。 通过获取一个虚拟局域网内的DHCP信息，交换机可以在用户和DHCP服务器之间担任小型安全防火墙这样的角色。“DHCP监听”功能基于动态地址分配建立了一个DHCP绑定表，并将该表存贮在交换机里。在没有DHCP的环境中，如数据中心，绑定条目可能被静态定义，每个DHCP绑定条目包含客户端地址、客户端MAC地址、端口、VLAN ID、租借时间、绑定类型。如下表所示：