局域网安全11 cisco辅助协议

1、CDP
1）以太网多播地址：0100.0CCC.CCCC
2）信息泄漏
· 软件版本和硬件平台
· 辅助VLAN：知道IP电话的vlan
3）CDP攻击
（1）CDP缓存溢出：软件bug，引发重启，已修复。
（2）虚假CDP缓存
（3）电能枯竭
4）缓解CDP的风险
接用户端关闭CDP，连接上行链路、IP电话和被管理设备不关闭
5）推荐使用
· IP电话部署
· 网络运行
· 故障排除

2、IEEE链路层发现协议（LLDP）
1）IEEE 802.1AB
2）0180.C200.000E
3）以太网类型
4）数据包格式：TLV
5）与CDP相同

3、VLAN Trunking（VTP）
1）与CDP相同：0100.0CCC.CCCC
2）VTPv3包含以下元素
· 管理域
· 管理域长度
· MD5 HMAC
· 修订号
· 更新者身份
· 更新时间戳
3）VTPv3特性
· 每端口配置
· HMAC认证：密码加密、防重放
· 修订号
4）VTP风险分析
· 启用MD5认证
· 仅v3能防重放
· 仅在真实trunk上启用VTP
PS：不使用VTP，若使用必须加密

4、链路聚合协议
1）实现聚合的协议
（1）端口聚合协议（Port Aggregation Protocol，PAgP）cisco私有
· 组播地址：0100.0CCC.CCCC
· 无内置安全机制
（2）链路聚合控制协议（Link Aggregation Control protocol，LACP）IEEE 802.3ad
· 组播地址：0180.C200.0002
· 无内置安全机制
2）风险分析
（1）伪造控制数据包，将攻击者所在的链路追加到聚合端口，因为负载均衡，能收到1/n的流量
· DoS：1/n流量丢失
· 缺乏机密性和完整性：截获的信息可被分析
· 攻击不容易，风险小
（2）风险缓解
Switch(config)#int f0/24
Switch(config-if)#no channel-group
PS：聚合链路只能作用于trunk，所以禁用trunk行为即可