在網路實際環境中,隨著計算機效能的不斷提升,針對網路中的交換機、路由器或其它計算機等裝置的攻擊趨勢越來越嚴重,影響越來越劇烈。下面是YJBYS小編整理的核心交換機存在的安全隱患的相關內容,希望對你有幫助!
為了儘可能抑制攻擊帶來的影響,減輕交換機的負載,使區域網穩定執行,核心交換機廠商在交換機上應用了一些安全防範技術,網路管理人員應該根據不同的裝置型號,有效地啟用和配置這些技術,淨化區域網環境。
本文以華為3COM公司的Quidway系列交換機為例,分兩期為您介紹常用的安全防範技術和配置方法。以下您將學到廣播風暴控制技術、MAC地址控制技術、DHCP控制技術及ACL技術。
廣播風暴控制技術
網絡卡或其它網路介面損壞、環路、人為干擾破壞、黑客工具、病毒傳播,都可能引起廣播風暴,交換機會把大量的廣播幀轉發到每個埠上,這會極大地消耗鏈路頻寬和硬體資源。可以通過設定乙太網埠或VLAN的廣播風暴抑制比,從而有效地抑制廣播風暴,避免網路擁塞。
1.廣播風暴抑制比
可以使用以下命令限制埠上允許通過的廣播流量的大小,當廣播流量超過使用者設定的值後,系統將對廣播流量作丟棄處理,使廣播所佔的流量比例降低到合理的範圍,以埠最大廣播流量的.線速度百分比作為引數。
百分比越小,表示允許通過的廣播流量越小。當百分比為100時,表示不對該埠進行廣播風暴抑制。預設情況下,允許通過的廣播流量為100%,即不對廣播流量進行抑制。在乙太網埠檢視下進行下列配置。
2.為VLAN指定廣播風暴抑制比
同樣,可以使用下面的命令設定VLAN允許通過的廣播流量的大小。預設情況下,系統所有VLAN不做廣播風暴抑制,即max-ratio值為100%。
MAC地址控制技術
乙太網交換機可以利用MAC地址學習功能獲取與某埠相連的網段上各網路裝置的MAC 地址。對於發往這些MAC地址的報文,乙太網交換機可以直接使用硬體轉發。如果MAC地址表過於龐大,可能導致以核心交換機的轉發效能的下降。
MAC攻擊利用工具產生欺騙的MAC地址,快速填滿交換機的MAC表,MAC表被填滿後,交換機會以廣播方式處理通過交換機的報文,流量以洪泛方式傳送到所有介面,這時攻擊者可以利用各種嗅探工具獲取網路資訊。
TRUNK介面上的流量也會發給所有介面和鄰接交換機,會造成交換機負載過大,網路緩慢和丟包,甚至癱瘓。可以通過設定埠上最大可以通過的MAC地址數量、MAC地址老化時間,來抑制MAC攻擊。
這裡的鎖定埠就是指設定了最大學習MAC地址數的乙太網埠。在乙太網埠上使用命令mac-address max-mac-count設定埠能夠學習的最大地址數以後,學習到的MAC地址表項將和相應的埠繫結起來。
如果某個MAC地址對應的主機長時間不上網或已移走,它仍然佔用埠上的一個MAC地址表項,從而造成MAC地址在這5個MAC地址以外的主機將不能上網。此時可以通過設定鎖定埠對應的MAC地址表的老化時間,使長時間不上網的主機對應的MAC地址表項老化,從而使其他主機可以上網。預設情況下,鎖定埠對應的MAC地址表的老化時間為1小時。
為了使配置了DHCP Relay的VLAN內的合法固定IP地址使用者能夠通過DHCP安全特性的地址合法性檢查,需要使用此命令為固定IP地址使用者新增一條IP地址和MAC地址對應關係的靜態地址表項。
如果有另外一個非法使用者配置了一個靜態IP地址,該靜態IP地址與合法使用者的固定IP地址發生衝突,執行DHCP Relay功能的核心交換機,可以識別出非法使用者,並拒絕非法使用者的IP與MAC地址的繫結請求。
