mac addresses flooding 通过模拟大量的源mac地址来让switch的mac表爆满 可通过port security解决。 vlan hopping 通过改变packet的vlan-id来访问其他的vlan 严格设置trunk允许哪些vlan通过，把没用的port放到common vlan里（也就是vlan1） attacks between devices on a common vlan 属于同一vlan间的设备也可以相互攻击的 通过pvlan来解决 dhcp starvation 攻击者发送无数dhcp请求，来吧dhcp服务器地址池中的地址耗尽 用dhcp snooping解决 stp compromises 攻击者把自己的bridge priority设为最大，这样就成为bridge root了 手工设置bridge priority为0，并设置一个backup root，开启root guard mac spoofing / arp spoofing 攻击者把自己的mac地址改为攻击目标的mac地址，这样就能收到被攻击者的数据了 手工绑定mac地址和接口，或者arp inspection cdp manipulation 由于cdp信息是明文的，攻击者可以抓取其信息 在不需要跑cdp的接口上，把cdp关掉 ssh and telnet attacks 对于ssh和telnet的一些攻击 使用ssh v2，对于telnet则使用access-class