通信的每一層中都有自己獨特的安全問題。數據鏈路層（第二協議層）的通信連接就安全而言，是較為薄弱的環節。網絡安全的問題應該在多個協議層針對不同的弱點進行解決。在本篇文章中，我們將集中討論與有線局域網相關的安全問題。 
在第二協議層的通信中，交換機是關鍵的部件，它們也用于第三協議層的通信。對于相同的第三協議層的許多攻擊和許多獨特的網絡攻擊，它們和路由器都會很敏感，這些攻擊包括：

內容尋址存儲器（CAM）表格淹沒：交換機中的 CAM 表格包含了諸如在指定交換機的物理端口所提供的 MAC 地址和相關的 VLAN 參數之類的信息。一個典型的網絡侵入者會向該交換機提供大量的無效 MAC 源地址，直到 CAM 表格被添滿。當這種情況發生的時候，交換機會將傳輸進來的信息向所有的端口發送，因為這時交換機不能夠從 CAM 表格中查找出特定的 MAC 地址的端口號。CAM 表格淹沒只會導致交換機在本地 VLAN 范圍內到處發送信息，所以侵入者只能夠看到自己所連接到的本地 VLAN 中的信息。
VLAN 中繼：VLAN 中繼是一種網絡攻擊，由一終端系統發出以位于不同 VLAN 上的系統為目標地址的數據包，而該系統不可以采用常規的方法被連接。該信息被附加上不同于該終端系統所屬網絡 VLAN ID 的標簽。或者發出攻擊的系統偽裝成交換機并對中繼進行處理，以便于攻擊者能夠收發其它 VLAN 之間的通信。
操縱生成樹協議：生成樹協議可用于交換網絡中以防止在以太網拓樸結構中產生橋接循環。通過攻擊生成樹協議，網絡攻擊者希望將自己的系統偽裝成該拓樸結構中的根網橋。要達到此目的，網絡攻擊者需要向外廣播生成樹協議配置/拓樸結構改變網橋協議數據單元（BPDU），企圖迫使生成樹進行重新計算。網絡攻擊者系統發出的 BPDU 聲稱發出攻擊的網橋優先權較低。如果獲得成功，該網絡攻擊者能夠獲得各種各樣的數據幀。
媒體存取控制地址（MAC）欺騙：在進行 MAC 欺騙攻擊的過程中，已知某其它主機的 MAC 地址會被用來使目標交換機向攻擊者轉發以該主機為目的地址的數據幀。通過發送帶有該主機以太網源地址的單個數據幀的辦法，網絡攻擊者改寫了 CAM 表格中的條目，使得交換機將以該主機為目的地址的數據包轉發給該網絡攻擊者。除非該主機向外發送信息，否則它不會收到任何信息。當該主機向外發送信息的時候，CAM 表中對應的條目會被再次改寫，以便它能恢復到原始的端口。
地址解析協議（ARP）攻擊：ARP 協議的作用是在處于同一個子網中的主機所構成的局域網部分中將 IP 地址映射到 MAC 地址。當有人在未獲得授權時就企圖更改 MAC 和 IP 地址的 ARP 表格中的信息時，就發生了 ARP 攻擊。通過這種方式，黑客們可以偽造 MAC 或 IP 地址，以便實施如下的兩種攻擊：服務拒絕和中間人攻擊。
專用 VLAN：專用 VLAN 通過限制 VLAN 中能夠與同 VLAN 中其它端口進行通信的端口的方式進行工作。VLAN 中的孤立端口只能和混合端口進行通信。混合端口能夠和任何端口進行通信。能夠繞過專用 VLAN 安全措施的攻擊的實現要使用繞過專用 VLAN 訪問限制的代理。
耗竭：DHCP 耗竭的攻擊通過利用偽造的 MAC 地址來廣播 DHCP 請求的方式來進行。利用諸如 gobbler 之類的攻擊工具就可以很容易地造成這種情況。如果所發出的請求足夠多的話，網絡攻擊者就可以在一段時間內耗竭向 DHCP 服務器所提供的地址空間。這是一種比較簡單的資源耗竭的攻擊手段，就像 SYN 泛濫一樣。然后網絡攻擊者可以在自己的系統中建立起虛假的 DHCP 服務器來對網絡上客戶發出的新 DHCP 請求作出反應。
降低局域網安全風險

在交換機上配置端口安全選項可以防止 CAM 表淹沒攻擊。該選擇項要么可以提供特定交換機端口的 MAC 地址說明，要么可以提供一個交換機端口可以習得的 MAC 地址的數目方面的說明。當無效的 MAC 地址在該端口被檢測出來之后，該交換機要么可以阻止所提供的 MAC 地址，要么可以關閉該端口。

對 VLAN 的設置稍作幾處改動就可以防止 VLAN 中繼攻擊。這其中最大的要點在于所有中繼端口上都要使用專門的 VLAN ID。同時也要禁用所有使用不到的交換機端口并將它們安排在使用不到的 VLAN 中。通過明確的辦法，關閉掉所有用戶端口上的 DTP，這樣就可以將所有端口設置成非中繼模式。

要防止操縱生成樹協議的攻擊，需要使用根目錄保護和 BPDU 保護加強命令來保持網絡中主網橋的位置不發生改變，同時也可以強化生成樹協議的域邊界。根目錄保護功能可提供保持主網橋位置不變的方法。生成樹協議 BPDU 保護使得網絡設計者能夠保持有源網絡拓樸結構的可預測性。盡管 BPDU 保護也許看起來是沒有必要的，因為管理員可以將網絡優先權調至0，但仍然不能保證它將被選做主網橋，因為可能存在一個優先權為0但ID卻更低的網橋。使用在面向用戶的端口中，BPDU 保護能夠發揮出最佳的用途，能夠防止攻擊者利用偽造交換機進行網絡擴展。

使用端口安全命令可以防止 MAC 欺騙攻擊。端口安全命令能夠提供指定系統 MAC 地址連接到特定端口的功能。該命令在端口的安全遭到破壞時，還能夠提供指定需要采取何種措施的能力。然而，如同防止 CAM 表淹沒攻擊一樣，在每一個端口上都要指定一個 MAC 地址是一種難辦的解決方案。在界面設置菜單中選擇計時的功能，并設定一個條目在 ARP 緩存中可以持續的時長，能夠達到防止 ARP 欺騙的目的。

對路由器端口訪問控制列表（ACL）進行設置可以防止專用 VLAN 攻擊。虛擬的 ACL 還可以用于消除專用 VLAN 攻擊的影響。

通過限制交換機端口的 MAC 地址的數目，防止 CAM 表淹沒的技術也可以防止 DHCP 耗竭。隨著 RFC 3118，DHCP 消息驗證的執行，DHCP 耗竭攻擊將會變得越來越困難。

另外，IEEE802.1X 還能夠在數據鏈路層對基本的網絡訪問進行監測，它本身是一種在有線網絡和無線網絡中傳送可擴展驗證協議（EAP）架構的標準。在未完成驗證的情況下 801.1X 就拒絕對網絡的訪問，進而可以防止對網絡基礎設備實施的，并依賴基本 IP 連接的多種攻擊。802.1X 的初始編寫目標是用于拔號連接和遠程訪問網絡中的點對點協議（PPP），它現在支持在局域網的環境中使用 EAP，包括無線局域網。<>

【相關文章】

• 網絡基礎知識講座之四：理解數據鏈路層

• ATM教程：數據鏈路層

• 調整思路：用交換機解決局域網安全