1、交换机安全防范技术交换机安全防范技术在网络实际环境中,随着计算机性能的不断提升,针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。交换机作为局域网信息交换的主要设备,特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻交换机的负载,使局域网稳定运行,交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为 3COM 公司的 Quidway 系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到
2、广播风暴控制技术、MAC 地址控制技术、DHCP 控制技术及 ACL技术。广播风暴控制技术网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或 VLAN 的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。1.广播风暴抑制比可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为
3、100 时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为 100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置:broadcast-suppression ratio2.为 VLAN 指定广播风暴抑制比同样,可以使用下面的命令设置 VLAN 允许通过的广播流量的大小。缺省情况下,系统所有 VLAN 不做广播风暴抑制,即 max-ratio值为 100%。MAC 地址控制技术以太网交换机可以利用 MAC 地址学习功能获取与某端口相连的网段上各网络设备的 MAC 地址。对于发往这些 MAC 地址的报文,以太网交换机可以直接使用硬件转发。如果 MAC 地址表过于庞大,
4、可能导致以太网交换机的转发性能的下降。MAC 攻击利用工具产生欺骗的 MAC地址,快速填满交换机的 MAC 表,MAC 表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK 接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的 MAC 地址数量、MAC 地址老化时间,来抑制 MAC 攻击。1.设置最多可学习到的 MAC 地址数通过设置以太网端口最多学习到的 MAC 地址数,用户可以控制以太网交换机维护的 MAC 地址表的表项数量。如果用户设置
5、的值为count,则该端口学习到的 MAC 地址条数达到 count 时,该端口将不再对 MAC 地址进行学习。缺省情况下,交换机对于端口最多可以学习到的 MAC 地址数目没有限制。在以太网端口视图下进行下列配置:mac-address max-mac-count count2.设置系统 MAC 地址老化时间设置合适的老化时间可以有效实现 MAC 地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的 MAC 地址的数据报文,影响交换机的运行性能。如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的 MAC 地址表项,从而耗尽 MAC 地址表资源,导致
6、交换机无法根据网络的变化更新MAC 地址表。如果用户设置的老化时间太短,以太网交换机可能会删除有效的 MAC 地址表项。一般情况下,推荐使用老化时间 age 的缺省值300 秒。在系统视图下进行下列配置: mac-address timer agingage | no-aging 使用参数 no-aging 时表示不对 MAC 地址表项进行老化。3设置 MAC 地址表的老化时间这里的锁定端口就是指设置了最大学习 MAC 地址数的以太网端口。在以太网端口上使用命令 mac-address max-mac-count 设置端口能够学习的最大地址数以后,学习到的 MAC 地址表项将和相应的端口绑定起来。如果某个 MAC 地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个 MAC 地址表项,从而造成 MAC 地址在这 5 个 MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的 MAC地址表的老化时间,使长时间不上网的主机对应的 MAC 地址表项老化,从而使其他主机可以上网。缺省情况下,锁定端口对应的 MAC 地址表的老化时间为 1 小时。在系统视图下进行下列配置:lock-