Các bước bảo mật cho Layer 2
Các bước bảo mật cho Layer 2
- Bỏ qua VLAN 1, không sử dụng. Tạo VLAN mới làm native VLAN
- Tắt chế độ thương lượng (negotiate) trên các cổng kết nối với người dùng.
- Tắt CDP trên các cổng nối với thiết bị không tin cậy.
- Shutdown các cổng không dùng, đưa các port này vào VLAN dành riêng.
- Giới hạn MAC trên các cổng.
Cấu hình port-security
SW1(config)#int range f0/1-24
SW1(config-if-range)#switchport mode access
SW1(config-if-range)#switchport port-security
SW1(config-if-range)#switchport port-security max 1
SW1(config-if-range)#switchport port-security mac-address sticky
SW1(config-if-range)#switchport port-security violation <protect/restrict/shutdown>
Các mode xử lý vi phạm:
- protect: loại bỏ gói vi phạm
- restrict: loại bỏ gói vi phạm và ghi lại log
- shutdown: loại bỏ gói vi phạm và shutdown port