目前，網(wǎng)絡(luò)和信息安全已上升到國(guó)家安全的層面。在早期的計(jì)算機(jī)網(wǎng)絡(luò)安全研究中，普遍存在著重兩頭而輕中間的現(xiàn)象,將網(wǎng)絡(luò)安全的注意力主要集中在網(wǎng)絡(luò)體系結(jié)構(gòu)的高層和低層，而忽視了中間層次的安全問(wèn)題。如針對(duì)物理層的安全提出了大量的涉及物理、電子、電氣和功能等特性的解決方案;針對(duì)應(yīng)用層的安全出現(xiàn)了種類(lèi)豐富、功能完善的面向協(xié)議的技術(shù)和產(chǎn)品。然而，只有當(dāng)ARP欺騙攻擊在局域網(wǎng)中大范圍爆發(fā)而一時(shí)無(wú)法找到徹底的解決辦法時(shí)，才注意到中間層，尤其是數(shù)據(jù)鏈路層的安全問(wèn)題。數(shù)據(jù)鏈路層的主要功能是在相鄰節(jié)點(diǎn)之間，通過(guò)各種控制協(xié)議和規(guī)程在有差錯(cuò)的物理信道中實(shí)現(xiàn)無(wú)差錯(cuò)的、可靠的數(shù)據(jù)幀傳輸[1]。本文以交換式局域網(wǎng)應(yīng)用為主，集中分析了數(shù)據(jù)鏈路層的安全問(wèn)題，有針對(duì)性地提出了相應(yīng)的解決方法和思路，并以Cisco交換機(jī)為例，給出了相應(yīng)的配置方法。
1 數(shù)據(jù)鏈路層主要安全問(wèn)題
1.1 ARP欺騙攻擊
    ARP（Address Resolution Protocol）的功能是通過(guò)IP地址查找對(duì)應(yīng)端口的MAC地址，以便在TCP/IP網(wǎng)絡(luò)中實(shí)現(xiàn)共享信道的節(jié)點(diǎn)之間利用MAC地址進(jìn)行通信。由于ARP協(xié)議在設(shè)計(jì)中存在主動(dòng)發(fā)送ARP報(bào)文的漏洞，使得主機(jī)可以發(fā)送虛假的ARP請(qǐng)求報(bào)文或響應(yīng)報(bào)文,而報(bào)文中的源IP地址和源MAC地址均可以進(jìn)行偽造。在局域網(wǎng)中，既可以偽造成某一臺(tái)主機(jī)（如服務(wù)器）的IP地址和MAC地址的組合，也可以偽造成網(wǎng)關(guān)IP地址與MAC地址的組合。這種組合可以根據(jù)攻擊者的意圖進(jìn)行任意搭配，而現(xiàn)有的局域網(wǎng)卻沒(méi)有相應(yīng)的機(jī)制和協(xié)議來(lái)防止這種偽造行為。近幾年來(lái)，幾乎所有局域網(wǎng)都遭遇過(guò)ARP欺騙攻擊的侵害。
    圖1所示為假設(shè)主機(jī)C為局域網(wǎng)中的網(wǎng)關(guān)，主機(jī)D為ARP欺騙者。當(dāng)局域網(wǎng)中的計(jì)算機(jī)要與其他網(wǎng)絡(luò)進(jìn)行通信（如訪問(wèn)Internet）時(shí)，所有發(fā)往其他網(wǎng)絡(luò)的數(shù)據(jù)全部發(fā)給了主機(jī)D，而主機(jī)D并非真正的網(wǎng)關(guān)，這樣整個(gè)網(wǎng)絡(luò)將無(wú)法與其他網(wǎng)絡(luò)進(jìn)行通信。這種現(xiàn)象在ARP欺騙攻擊中非常普遍。

1.2 DHCP欺騙攻擊
    DHCP（Dynamic Host Configuration Protocol）的功能是對(duì)客戶(hù)端動(dòng)態(tài)地分配IP地址及相關(guān)參數(shù)。但DHCP卻存在著一個(gè)非常大的安全隱患：當(dāng)一臺(tái)運(yùn)行有DHCP客戶(hù)端程序的計(jì)算機(jī)連接到網(wǎng)絡(luò)中時(shí)，即使是一個(gè)沒(méi)有權(quán)限使用網(wǎng)絡(luò)的非法用戶(hù)也能很容易地從DHCP服務(wù)器獲得一個(gè)IP地址及網(wǎng)關(guān)、DNS等信息，成為網(wǎng)絡(luò)的合法使用者[2]。由于DHCP客戶(hù)端在獲得DHCP服務(wù)器的IP地址等信息時(shí)，系統(tǒng)沒(méi)有提供對(duì)合法DHCP服務(wù)器的認(rèn)證，所以DHCP客戶(hù)端從首先得到DHCP響應(yīng)（DHCPOFFER）的DHCP服務(wù)器處獲得IP地址等信息。為此，不管是人為的網(wǎng)絡(luò)攻擊、破壞，還是無(wú)意的操作，一旦在網(wǎng)絡(luò)中接入了一臺(tái)DHCP服務(wù)器，該DHCP服務(wù)器就可以為DHCP客戶(hù)端提供IP地址等信息的服務(wù)。其結(jié)果是:(1)客戶(hù)端從非法DHCP服務(wù)器獲得了不正確的IP地址、網(wǎng)關(guān)、DNS等參數(shù)，無(wú)法實(shí)現(xiàn)正常的網(wǎng)絡(luò)連接；(2)客戶(hù)端從非法DHCP服務(wù)器處獲得的IP地址與網(wǎng)絡(luò)中正常用戶(hù)使用的IP地址沖突,影響了網(wǎng)絡(luò)的正常運(yùn)行。尤其當(dāng)客戶(hù)端獲得的IP地址與網(wǎng)絡(luò)中某些重要的服務(wù)器的IP地址沖突時(shí)，整個(gè)網(wǎng)絡(luò)將處于混亂狀態(tài)；(3)攻擊偽造大量的DHCP請(qǐng)求報(bào)文，將DHCP服務(wù)器中可供分配的IP地址耗盡,使正常的用戶(hù)無(wú)法獲得IP地址。
1.3 生成樹(shù)協(xié)議攻擊
    生成樹(shù)協(xié)議STP(Spanning Tree Protocol)是用于解決網(wǎng)絡(luò)環(huán)路問(wèn)題的一種智能算法。在交換式網(wǎng)絡(luò)中，通過(guò)在兩個(gè)交換節(jié)點(diǎn)之間提供多條物理鏈路來(lái)提供線路冗余，以增加設(shè)備之間連接的可靠性。但是，當(dāng)在兩個(gè)交換節(jié)點(diǎn)(如交換機(jī))之間存在兩條以上的物理鏈路時(shí)將會(huì)形成環(huán)路。如果沒(méi)有相應(yīng)的備份策略，環(huán)路的存在將會(huì)形成廣播風(fēng)暴。輕則嚴(yán)重影響網(wǎng)絡(luò)的性能，重則導(dǎo)致網(wǎng)絡(luò)癱瘓。生成樹(shù)協(xié)議的實(shí)現(xiàn)基礎(chǔ)是BPDU(Bridge Protocol Data Units)報(bào)文，通過(guò)在不同交換機(jī)之間交換的BPDU報(bào)文，在網(wǎng)絡(luò)中選舉一臺(tái)網(wǎng)橋ID(Bridge ID)最低的交換機(jī)作為根網(wǎng)橋(Root Bridge)，并將交換機(jī)上發(fā)送該BPDU報(bào)文端口ID(Port ID)的值設(shè)置為最低，交換機(jī)上端口ID值最低的端口為根端口(Root Port)，根端口連接的鏈路為主鏈路。通過(guò)計(jì)算網(wǎng)絡(luò)中各個(gè)交換機(jī)到達(dá)根網(wǎng)橋的路徑開(kāi)銷(xiāo)，選擇各交換節(jié)點(diǎn)到達(dá)根網(wǎng)橋的最優(yōu)路徑，同時(shí)阻斷其他的次優(yōu)路徑（即冗余鏈路），從而形成邏輯上無(wú)環(huán)路的樹(shù)形拓?fù)浣Y(jié)構(gòu)。
    根據(jù)STP的工作原理，同一網(wǎng)絡(luò)中的所有交換機(jī)之間都可以通過(guò)網(wǎng)橋ID的值來(lái)選擇根網(wǎng)橋，這樣攻擊者可以在網(wǎng)絡(luò)中接入一臺(tái)交換機(jī)或一臺(tái)計(jì)算機(jī)，然后通過(guò)構(gòu)造網(wǎng)橋ID最低的BPDU報(bào)文，使這臺(tái)接入的交換機(jī)或計(jì)算機(jī)成為根網(wǎng)橋，進(jìn)而擾亂正常的網(wǎng)絡(luò)運(yùn)行，最終導(dǎo)致網(wǎng)絡(luò)癱瘓。
1.4 MAC地址泛洪攻擊
    交換機(jī)根據(jù)MAC地址來(lái)轉(zhuǎn)發(fā)數(shù)據(jù)幀，交換機(jī)端口與所連設(shè)備MAC地址的對(duì)應(yīng)關(guān)系存儲(chǔ)在內(nèi)容尋址存儲(chǔ)器CAM(Content Addressable Memory)表中,CAM表中還可能包含MAC地址對(duì)應(yīng)的VLAN ID等參數(shù)。當(dāng)交換機(jī)從某一端口接收到一個(gè)數(shù)據(jù)幀時(shí)，交換機(jī)首先從數(shù)據(jù)幀中提取源MAC地址和目的MAC地址，然后將端口與源MAC地址的對(duì)應(yīng)關(guān)系記錄在CAM表中。同時(shí)，交換機(jī)查詢(xún)CAM表中是否有目的MAC地址對(duì)應(yīng)的記錄，如果有,則可通過(guò)對(duì)應(yīng)的端口將數(shù)據(jù)幀轉(zhuǎn)發(fā)出去，如果沒(méi)有，交換機(jī)的作用則類(lèi)似于集線器，會(huì)將數(shù)據(jù)幀廣播到交換機(jī)其他所有的端口[3]。
    MAC地址泛洪攻擊也稱(chēng)為CAM表溢出攻擊。因?yàn)槿魏我慌_(tái)交換機(jī)的CAM表大小是有限制的，當(dāng)記錄數(shù)填滿(mǎn)CAM表時(shí)，凡到達(dá)交換機(jī)的具有不同源MAC地址的數(shù)據(jù)幀，其端口和MAC地址的對(duì)應(yīng)關(guān)系將不會(huì)被添加在CAM表中。基于此原理，攻擊者將大量虛構(gòu)的具有不同源MAC地址的數(shù)據(jù)幀發(fā)送給交換機(jī)，直至交換機(jī)的CAM表填滿(mǎn)。之后，交換機(jī)將進(jìn)入fail-open（失效開(kāi)放）模式，其功能將類(lèi)似于一臺(tái)集線器。此時(shí)，交換機(jī)接收到的任何一個(gè)單播幀都會(huì)以廣播方式處理，攻擊者的計(jì)算機(jī)將會(huì)接收到這些單播幀，從而獲得其他用戶(hù)的信息。
1.5 VLAN 攻擊
    虛擬局域網(wǎng)VLAN(Virtual Local Area Network)是在交換式局域網(wǎng)基礎(chǔ)上出現(xiàn)的一項(xiàng)管理技術(shù)，通過(guò)在數(shù)據(jù)幀的頭部添加VLAN tag（VLAN標(biāo)識(shí)）字段，將局域網(wǎng)用戶(hù)設(shè)備邏輯地劃分為多個(gè)網(wǎng)段，以縮小廣播域，提高用戶(hù)通信的安全性及網(wǎng)絡(luò)的可管理性。VLAN在局域網(wǎng)中一般被作為一項(xiàng)安全技術(shù)使用，但VLAN本身卻存在安全隱患。目前針對(duì)VLAN的攻擊主要集中在VLAN Hopping攻擊和VTP攻擊兩個(gè)方面。
    (1)VLAN Hopping攻擊。VLAN Hopping（VLAN跳躍）攻擊是基于動(dòng)態(tài)主干協(xié)議DTP(Dynamic Trunk Protocol)來(lái)實(shí)現(xiàn)的。當(dāng)兩臺(tái)交換機(jī)互聯(lián)時(shí)，通過(guò)DTP可以對(duì)互聯(lián)端口進(jìn)行協(xié)商，確認(rèn)是否設(shè)置為支持IEEE 802.1Q的主干（trunk）端口。如果設(shè)置為主干端口，則允許轉(zhuǎn)發(fā)所有VLAN中的數(shù)據(jù)幀。VLAN Hopping攻擊又分為基本VLAN Hopping攻擊和雙重封裝VLAN跳躍攻擊兩類(lèi)。①基本VLAN Hopping攻擊是攻擊者將計(jì)算機(jī)偽裝成為一臺(tái)交換機(jī)，并發(fā)送虛假的DTP協(xié)商報(bào)文，請(qǐng)求成為主干端口。局域網(wǎng)中交換機(jī)在收到這個(gè)DTP報(bào)文后，便啟用基于IEEE 802.1Q的Trunk功能，將攻擊者的計(jì)算機(jī)誤認(rèn)為一臺(tái)合法的交換機(jī)。之后，所有VLAN的數(shù)據(jù)幀都會(huì)發(fā)送到攻擊者的計(jì)算機(jī)上。②雙重封裝VLAN跳躍攻擊是指利用目前大部分局域網(wǎng)交換機(jī)僅支持單層VLAN tag的特點(diǎn)，攻擊者根據(jù)要入侵的VLAN ID，首先構(gòu)造一個(gè)包含該VLAN ID的IEEE 802.1Q數(shù)據(jù)幀，然后在該IEEE 802.1Q數(shù)據(jù)幀的外層再封裝一層適合當(dāng)前網(wǎng)絡(luò)的VLAN tag，從而通過(guò)外層VLAN ID實(shí)現(xiàn)對(duì)非授權(quán)VLAN ID的非法訪問(wèn)，以獲取非授權(quán)VLAN ID中的用戶(hù)數(shù)據(jù)。
    (2)VTP攻擊。VTP（VLAN Trunk Protocol）以組播方式在同一個(gè)管理域中同步VLAN信息，從而實(shí)現(xiàn)對(duì)管理域中VLAN信息的集中管理。VTP報(bào)文只能在trunk端口上轉(zhuǎn)發(fā)。VTP的三種工作模式及對(duì)應(yīng)的功能如下：
    ①Server（缺?。??？梢蕴砑?、刪除、修改VLAN，并同步VLAN信息。VLAN信息存放在NVRAM中。
　 ②Client。不允許添加、刪除、修改VLAN，但會(huì)同步VLAN信息。VLAN信息不存放在NVRAM中，斷電后會(huì)自動(dòng)消失。
　 ③Transparent。可以添加、刪除、修改VLAN，但不同步VLAN信息。VLAN信息存放在NVRAM中。
　 使用VTP的主要目的是實(shí)現(xiàn)對(duì)局域網(wǎng)中VLAN信息的集中管理，以減少網(wǎng)絡(luò)管理員的工作量。但攻擊者可以接入一臺(tái)交換機(jī)或直接使用一臺(tái)計(jì)算機(jī)，并與上聯(lián)交換機(jī)之間建立一條主干（trunk）通道后，通過(guò)修改自己的修訂號(hào)（Configuration Revision）來(lái)?yè)碛蠸erver的權(quán)限，進(jìn)而對(duì)局域網(wǎng)的VLAN架構(gòu)進(jìn)行任意更改，以獲得所需要的信息或擾亂網(wǎng)絡(luò)的正常運(yùn)行。
2 數(shù)據(jù)鏈路層安全防范方法
2.1 針對(duì)ARP欺騙攻擊的防范方法
    ARP緩存表中的記錄既可以是動(dòng)態(tài)的，也可以是靜態(tài)的。如果ARP緩存表中的記錄是動(dòng)態(tài)的，則可以通過(guò)老化機(jī)制減少ARP緩存表的長(zhǎng)度并加快查詢(xún)速度；靜態(tài)ARP緩存表中的記錄是永久性的，用戶(hù)可以使用TCP/IP工具來(lái)創(chuàng)建和修改，如Windows操作系統(tǒng)自帶的ARP工具。對(duì)于計(jì)算機(jī)來(lái)說(shuō)，可以通過(guò)綁定網(wǎng)關(guān)等重要設(shè)備的IP與MAC地址記錄來(lái)防止ARP欺騙攻擊。在交換機(jī)上防范ARP欺騙攻擊的方法與在計(jì)算機(jī)上基本相同，可以將下連設(shè)備的MAC地址與交換機(jī)端口進(jìn)行綁定，并通過(guò)端口安全功能（Port Security feature）對(duì)違背規(guī)則的主機(jī)（攻擊者）進(jìn)行相應(yīng)的處理。通過(guò)Cisco交換機(jī)可以在DHCP Snooping綁定表的基礎(chǔ)上，使用DAI（Dynamic ARP Inspection）技術(shù)來(lái)檢測(cè)ARP請(qǐng)求，攔截非法的ARP報(bào)文，具體配置如下：
    Switch(config)#ip arp inspection vlan 20-30,100-110,315(定義ARP檢測(cè)的VLAN范圍,該范圍根據(jù)DHCP snooping binding表做判斷）
    Switch(config-if)#ip arp inspection limit rate 30 (限制端口每秒轉(zhuǎn)發(fā)ARP報(bào)文的數(shù)量為30）
2.2 針對(duì)DHCP欺騙攻擊的防范方法
    對(duì)于DHCP欺騙攻擊的防洪可以采用兩種方法。
    (1)采用DHCP Snooping過(guò)濾來(lái)自網(wǎng)絡(luò)中非法DHCP服務(wù)器或其他設(shè)備的非信任DHCP響應(yīng)報(bào)文。在交換機(jī)上，當(dāng)某一端口設(shè)置為非信任端口時(shí)，可以限制客戶(hù)端特定的IP地址、MAC地址或VLAN ID等報(bào)文通過(guò)。為此，可以使用DHCP Snooping特性中的可信任端口來(lái)防止用戶(hù)私置DHCP服務(wù)器或DHCP代理[4]。一旦將交換機(jī)的某一端口設(shè)置為指向正確DHCP服務(wù)器的接入端口,則交換機(jī)會(huì)自動(dòng)丟失從其他端口上接收到的DHCP響應(yīng)報(bào)文。例如，在Cisco交換機(jī)上通過(guò)以下命令將指定端口設(shè)置為信任端口：
　    Switch(config-if)# ip dhcp snooping trust（定義該端口為DHCP信任端口）
　    Switch(config)#ip dhcp snooping （啟用DHCP snooping功能）
　    Switch(config)#ip dhcp snooping vlan 20-30,100-110,315 （定義DHCP snooping作用的VLAN）
　　(2)通過(guò)DHCP服務(wù)器(如基于Windows 2003/2008操作系統(tǒng)的DHCP服務(wù)器)綁定IP與MAC地址，實(shí)現(xiàn)對(duì)指定計(jì)算機(jī)IP地址的安全分配。
2.3 針對(duì)生成樹(shù)協(xié)議攻擊的防范方法
    對(duì)于STP攻擊可以采取STP環(huán)路保護(hù)機(jī)制來(lái)防范。為了防止客戶(hù)端交換機(jī)偶然成為根網(wǎng)橋，在Cisco交換機(jī)中可以使用Root Guard特性來(lái)避免這種現(xiàn)象的發(fā)生[5]。如圖2所示，如果STP偶然選擇出客戶(hù)端交換機(jī)(交換機(jī)D)成為根網(wǎng)橋，即交換機(jī)C與交換機(jī)D相連接的端口成為根端口(Root Port),則Root Guard特性自動(dòng)將交換機(jī)C與交換機(jī)D相連接的端口設(shè)置為root-inconsistent狀態(tài)（根阻塞狀態(tài)），以防止客戶(hù)端交換機(jī)D成為根網(wǎng)橋。一旦在交換機(jī)中配置了Root Guard特性，其將對(duì)所有的VLAN都有效。

    在Cicsco交換機(jī)中配置Root Guard特性的命令如下：
    Switch(config-if)#spanning-tree guard root
2.4 針對(duì)MAC地址泛洪攻擊的防范方法
    針對(duì)MAC地址泛洪攻擊，可以采取以下多種方法進(jìn)行防范：
    (1)限制未知目的MAC地址的組播（multicast）幀和單播（unicast）幀通過(guò)本端口進(jìn)行轉(zhuǎn)發(fā)。在Cisco交換機(jī)的配置如下：
    Switch(config-if)# switchport block multicast
    Switch(config-if)# switchport block unicast
    (2)限制端口學(xué)習(xí)到的最大MAC地址數(shù)量。以下配置中將該端口最大能夠?qū)W習(xí)到的MAC地址數(shù)限制為10：
    Switch(config-if)#switchport port-security maximum 10
    (3)限制端口單位時(shí)間(一般為每秒)通過(guò)的最大數(shù)據(jù)幀數(shù)量，可以分別針對(duì)單播幀、組播幀和廣播幀進(jìn)行設(shè)置。以下配置中將該端口每秒通過(guò)的單播幀、組播幀和廣播幀的數(shù)量分別限制為10：
    Switch(config-if)# storm-control unicast level 10
    Switch(config-if)# storm-control multicast level 10
    Switch(config-if)# storm-control broadcast level 10
    當(dāng)通過(guò)以上方式對(duì)交換機(jī)的端口進(jìn)行限制后，對(duì)于違背安全規(guī)則的端口，交換機(jī)將自動(dòng)采取protect（丟棄非法流量，不報(bào)警）、restrict（丟棄非法流量，報(bào)警）、shutdown（關(guān)閉端口）和shutdown vlan（關(guān)閉VLAN）等安全保護(hù)方式。
2.5 針對(duì)VLAN攻擊的防范方法
    （1）針對(duì)基本VLAN Hopping攻擊，最有效的解決方法是關(guān)閉交換機(jī)的DTP功能，將交換機(jī)之間的互聯(lián)端口手動(dòng)設(shè)置為T(mén)runk即可。在Cisco交換機(jī)上將某一端口設(shè)置為T(mén)runk的配置如下：
　　Switch(config-if)# switchport（設(shè)置為二層端口）
　　Switch(config-if)#switchport trunk encapsulation dot1q（啟用IEEE 802.1Q）
　　Switch(config-if)#switchport mode trunk（設(shè)置該端口為trunk）或
　　Switch(config-if)# switchport mode dynamic desirable（使該端口既主動(dòng)發(fā)送DTP報(bào)文，也允許對(duì)DTP報(bào)文進(jìn)行響應(yīng)，這是以太網(wǎng)端口的默認(rèn)狀態(tài)）
　　關(guān)閉交換機(jī)上DTP功能的配置如下：
　　Switch(config-if)# switchport mode access（設(shè)置為訪問(wèn)端口，不具有DTP功能）或
　　Switch(config-if)# switchport mode dynamic auto（使該端口可以響應(yīng)DTP報(bào)文，但不允許主動(dòng)發(fā)送DTP報(bào)文）
　　針對(duì)雙重封裝VLAN Hopping攻擊，目前最有效的解決辦法是為trunk端口單獨(dú)設(shè)置一個(gè)native VLAN，且在native VLAN中不加入任何用戶(hù)的端口。配置方法如下：
　　Switch(config-if)#switchport trunk native vlan vlan-id
　　(2)由于實(shí)現(xiàn)VTP攻擊的前提是攻擊者與上聯(lián)交換機(jī)之間要建立一條主干（trunk）通道，所以可以采取與防范基本VLAN Hopping攻擊相同的方法來(lái)解決這一問(wèn)題。另外，可以為VTP域設(shè)置密碼，當(dāng)域中要加入新的交換機(jī)時(shí)必須輸入正確的密碼，通過(guò)對(duì)VTP域密碼的管理便可以防范VTP攻擊。在Cisco交換機(jī)中的配置實(shí)例如下：
　　Switch(config)# vtp mode server(將VTP的工作模式設(shè)置為Server)
　　Switch(config)# vtp domain VTP-JSPI(設(shè)置VTP的域名為VTP-JSPI）
　　Switch(config)#vtp pruning (設(shè)置VTP修剪，以減少trunk端口上不必要的流量)
　　Switch(config)#vtp version 2(設(shè)置VTP的版本號(hào)為2)
　　Switch(config)#vtp password cisco-jspi(將VTP域的密碼設(shè)置為cisco-jspi)
    需要說(shuō)明的是：VTP域中的所有交換機(jī)必須設(shè)置相同的密碼，否則無(wú)法正確工作。另外，VTP的域密碼是以明文方式在網(wǎng)絡(luò)中傳輸，安全性較差。
    在OSI參考模型中，局域網(wǎng)僅涉及到物理層和數(shù)據(jù)鏈路層，以上各層的功能由局域網(wǎng)操作系統(tǒng)來(lái)完成。在網(wǎng)絡(luò)體系結(jié)構(gòu)中，越是低層的安全問(wèn)題所產(chǎn)生的影響也越大，而且越不容易徹底解決。正因?yàn)槿绱?，?dāng)ARP、DHCP、VLAN、STP等主要針對(duì)數(shù)據(jù)鏈路層協(xié)議的攻擊出現(xiàn)時(shí)，一般借助于對(duì)交換機(jī)等數(shù)據(jù)鏈路層設(shè)備的安全管理來(lái)解決。針對(duì)局域網(wǎng)應(yīng)用和管理實(shí)際，本文僅對(duì)數(shù)據(jù)鏈路層的主要安全問(wèn)題進(jìn)行了分析，并給出了Cisco交換機(jī)上的配置方法，其他品牌交換機(jī)的配置讀者可參閱相關(guān)的技術(shù)文檔。隨著網(wǎng)絡(luò)應(yīng)用不斷深入，新的安全問(wèn)題也將不斷出現(xiàn)，針對(duì)數(shù)據(jù)鏈路層的安全研究也將是一項(xiàng)長(zhǎng)期的工作。
參考文獻(xiàn)
[1] TANENBAUM A S. Computer networks fourth edition(影印版）[M].北京：清華大學(xué)出版，2008.
[2] 任鳳姣,王 洪,賈卓生.DHCP安全系統(tǒng)[J].計(jì)算機(jī)工程,2004,17(9):127-129.
[3] 王群.計(jì)算機(jī)網(wǎng)絡(luò)安全技術(shù)[M].北京：清華大學(xué)出版，2008.
[4] PATRICK M. Motorola BCS. DHCP relay agent information option[EB/OL]. http://www.rfc-editor.org/rfc/rfc3046.txt, January 2001.
[5] Cisco Systems, Inc. Spanning tree protocol root guard enhancement[EB/OL]. http://www.cisco.com/application/pdf/paws/10588/74.pdf, August 2005.