1.3.1 接入层与分布层

企业网接入层和分布层如图1-8所示。

图1-8　企业网接入层和分布层

在图1-8所示的环境中，网络设备主要以多层交换机、第2层交换机、IP电话和无线接入点为主，除此之外就是企业网中的用户设备。在这样的环境中，需要部署的缓解措施包括（但不限于）如下5项。

• 端口安全：在1.2节介绍的CAM表泛洪攻击显然主要以与终端设备相连的接入层交换机为目标，因此在接入层交换机上应该使用端口安全（port security）来限制交换机每个端口MAC地址的数量，防止使用CAM表泛洪攻击在VLAN中进行端口嗅探。
• VLAN ACL（访问控制列表）：DHCP欺骗攻击也主要需要通过接入层交换机上的策略来进行缓解。可仅部署必要的VLAN ACL，以防止攻击者欺骗DHCP服务器。
• 入口/出口/uRPF过滤：基于源地址的欺骗攻击，以及通过这种方式发起的DoS攻击可能发生在网络中的任何位置。为了缓解这种类型的攻击，在网络中任何适当的位置都可以配置uRPF过滤。
• 路由协议认证：一般来说，分布层与核心层交换机之间的链路会采用第3层链路进行连接。如果分布层交换机上运行了路由协议，则一定要针对这种路由协议配置认证，以防止未经授权的设备参与路由信息的交换。
• IP ACL：分布层交换机往往是第2层和第3层的分界线，可在分布层交换机上配置ACL来阻塞第3层和第4层的流量，把来自于接入层的非法流量尽早过滤掉，而不是让这类流量耗费了大量链路的带宽和大量设备的处理器资源之后才被过滤。