淺談核心交換機存在的安全隱患

　　在網(wǎng)絡(luò )實(shí)際環(huán)境中，隨著(zhù)計算機性能的不斷提升，針對網(wǎng)絡(luò )中的交換機、路由器或其它計算機等設備的攻擊趨勢越來(lái)越嚴重，影響越來(lái)越劇烈。下面是YJBYS小編整理的核心交換機存在的安全隱患的相關(guān)內容，希望對你有幫助!

　　為了盡可能抑制攻擊帶來(lái)的影響，減輕交換機的負載，使局域網(wǎng)穩定運行，核心交換機廠(chǎng)商在交換機上應用了一些安全防范技術(shù)，網(wǎng)絡(luò )管理人員應該根據不同的設備型號，有效地啟用和配置這些技術(shù)，凈化局域網(wǎng)環(huán)境。

　　本文以華為3COM公司的Quidway系列交換機為例，分兩期為您介紹常用的安全防范技術(shù)和配置方法。以下您將學(xué)到廣播風(fēng)暴控制技術(shù)、MAC地址控制技術(shù)、DHCP控制技術(shù)及ACL技術(shù)。

　　廣播風(fēng)暴控制技術(shù)

　　網(wǎng)卡或其它網(wǎng)絡(luò )接口損壞、環(huán)路、人為干擾破壞、黑客工具、病毒傳播，都可能引起廣播風(fēng)暴，交換機會(huì )把大量的廣播幀轉發(fā)到每個(gè)端口上，這會(huì )極大地消耗鏈路帶寬和硬件資源�？梢酝ㄟ^(guò)設置以太網(wǎng)端口或VLAN的廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴，避免網(wǎng)絡(luò )擁塞。

　　1.廣播風(fēng)暴抑制比

　　可以使用以下命令限制端口上允許通過(guò)的廣播流量的大小，當廣播流量超過(guò)用戶(hù)設置的值后，系統將對廣播流量作丟棄處理，使廣播所占的流量比例降低到合理的范圍，以端口最大廣播流量的線(xiàn)速度百分比作為參數。

　　百分比越小，表示允許通過(guò)的廣播流量越小。當百分比為100時(shí)，表示不對該端口進(jìn)行廣播風(fēng)暴抑制。缺省情況下，允許通過(guò)的廣播流量為100%，即不對廣播流量進(jìn)行抑制。在以太網(wǎng)端口視圖下進(jìn)行下列配置。

　　2.為VLAN指定廣播風(fēng)暴抑制比

　　同樣，可以使用下面的命令設置VLAN允許通過(guò)的廣播流量的大小。缺省情況下，系統所有VLAN不做廣播風(fēng)暴抑制，即max-ratio值為100%。

　　MAC地址控制技術(shù)

　　以太網(wǎng)交換機可以利用MAC地址學(xué)習功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡(luò )設備的MAC 地址。對于發(fā)往這些MAC地址的報文，以太網(wǎng)交換機可以直接使用硬件轉發(fā)。如果MAC地址表過(guò)于龐大，可能導致以核心交換機的轉發(fā)性能的下降。

　　MAC攻擊利用工具產(chǎn)生欺騙的MAC地址，快速填滿(mǎn)交換機的MAC表，MAC表被填滿(mǎn)后，交換機會(huì )以廣播方式處理通過(guò)交換機的報文，流量以洪泛方式發(fā)送到所有接口，這時(shí)攻擊者可以利用各種嗅探工具獲取網(wǎng)絡(luò )信息。

　　TRUNK接口上的流量也會(huì )發(fā)給所有接口和鄰接交換機，會(huì )造成交換機負載過(guò)大，網(wǎng)絡(luò )緩慢和丟包，甚至癱瘓�？梢酝ㄟ^(guò)設置端口上最大可以通過(guò)的MAC地址數量、MAC地址老化時(shí)間，來(lái)抑制MAC攻擊。

　　這里的鎖定端口就是指設置了最大學(xué)習MAC地址數的以太網(wǎng)端口。在以太網(wǎng)端口上使用命令mac-address max-mac-count設置端口能夠學(xué)習的最大地址數以后，學(xué)習到的MAC地址表項將和相應的端口綁定起來(lái)。

　　如果某個(gè)MAC地址對應的主機長(cháng)時(shí)間不上網(wǎng)或已移走，它仍然占用端口上的一個(gè)MAC地址表項，從而造成MAC地址在這5個(gè)MAC地址以外的主機將不能上網(wǎng)。此時(shí)可以通過(guò)設置鎖定端口對應的MAC地址表的老化時(shí)間，使長(cháng)時(shí)間不上網(wǎng)的主機對應的MAC地址表項老化，從而使其他主機可以上網(wǎng)。缺省情況下，鎖定端口對應的MAC地址表的老化時(shí)間為1小時(shí)。

　　為了使配置了DHCP Relay的VLAN內的合法固定IP地址用戶(hù)能夠通過(guò)DHCP安全特性的地址合法性檢查，需要使用此命令為固定IP地址用戶(hù)添加一條IP地址和MAC地址對應關(guān)系的靜態(tài)地址表項。

　　如果有另外一個(gè)非法用戶(hù)配置了一個(gè)靜態(tài)IP地址，該靜態(tài)IP地址與合法用戶(hù)的固定IP地址發(fā)生沖突，執行DHCP Relay功能的核心交換機，可以識別出非法用戶(hù)，并拒絕非法用戶(hù)的IP與MAC地址的綁定請求。

【淺談核心交換機存在的安全隱患】相關(guān)文章：

詳解核心交換機的TRUNK功能02-26

核心交換機故障的基本問(wèn)題03-04

淺談軟交換機技術(shù)的發(fā)展03-05

H3C核心交換機配置03-09

淺談速錄學(xué)習存在的問(wèn)題03-04

淺談關(guān)于企業(yè)核心競爭力問(wèn)題的研究03-08

關(guān)于淺談籃球核心力量訓練的方法和手段02-22

交換機故障03-04

對稱(chēng)交換機與不對稱(chēng)交換機的區別03-04