针对交换机的攻击主要有以下几类：

      1、ARP欺骗

      2、VTP攻击

      3、DHCP欺骗攻击

      4、MAC和IP欺骗攻击

      5、交换机配置/管理的攻击

      6、VLAN跳跃攻击

      7、STP攻击

      8、MAC泛洪攻击

 为了防止交换机被攻击者探测或控制，必须在交换机上配置基本的安全：

      关闭CDP

使用合格的密码

      交换机的端口安全

使用ACL，限制管理访问

      配置系统警告用语

      禁用不需要的服务

      启用系统日志

      使用SSH替代Telnet

      关闭SNMP或使用SNMP V3

      

      赫斯曼交换机依赖MAC地址表转发数据帧，如果MAC地址不存在，则交换机将帧转发到交换机上的每一个端口(泛洪)，然而MAC地址表的大小是有限的。

      MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机，直到交换机MAC地址表变满。交换机随后进入称为 “失效开放” (Fail-open)的模式，开始像集线器一样工作，将数据包广播到网络上的所有机器。

      因此，攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。要防止MAC泛洪攻击，可以配置端口安全特性，限制端口上所允许的有效MAC地址的数量，并定义攻击发生时端口的动作：关闭、保护、限制。

      

      当交换机开启了 DHCP-Snooping后，会对DHCP报文进行侦听，并可以从接收到的DHCP Request或DHCP Ack报文中提取并记录IP地址和MAC地址信息。

      另外，DHCP-Snooping允许将某个物理端口设置为信任端口或不信任端口。信任端口可以正常接收并转发DHCP Offer报文，而不信任端口会将接收到的DHCP Offer报文丢弃。

      这样，可以完成交换机对假冒DHCP Server的屏蔽作用，确保客户端从合法的DHCP Server获取IP地址。

dhcp-snooping的主要作用就是隔绝非法的dhcp server，通过配置非信任端口。

建立和维护一张dhcp-snooping的绑定表，这张表一是通过dhcp ack包中的ip和mac地址生成的，二是可以手工指定。这张表是后续DAI(dynamic arp inspect)和IPSource Guard 基础。这两种类似的技术，是通过这张表来判定ip或者mac地址是否合法，来限制用户连接到网络的。

通过建立信任端口和非信任端口，对非法DHCP服务器进行隔离，信任端口正常转发DHCP数据包，非信任端口收到的服务器响应的DHCP offer和DHCPACK后，做丢包处理，不进行转发。