交换机安全防范技术.doc

1、交换机安全防范技术 在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该依据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、

2、MAC地址控制技术、DHCP控制技术及ACL技术。     广播风暴控制技术     　　网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。         　　可以使用以下命令限制端口上同意通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢掉处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数，百分比越小，表示同意通过的广播流量越小。当百

3、分比为100时，表示不对该端口进行广播风暴抑制。缺省状况下，同意通过的广播流量为100%，即不对广播流量进行抑制。在以太网端口视图下进行以下配置：     　　broadcast-suppression ratio         　　同样，可以使用下面的命令设置VLAN同意通过的广播流量的大小。缺省状况下，系统所有VLAN不做广播风暴抑制，即max-ratio值为100%。     　　     　　MAC地址控制技术     　　以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。关于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发

4、如果MAC地址表过于庞大，可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式发送到所有接口，这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包，甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间，来抑制MAC攻击。         　　通过设置以太网端口最多学习到的MAC地址数，用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为coun

5、t，则该端口学习到的MAC地址条数达到count 时，该端口将不再对MAC地址进行学习。缺省状况下，交换机关于端口最多可以学习到的MAC地址数目没有限制。     　　在以太网端口视图下进行以下配置：     　　mac-address max-mac-count count         　　设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短，都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文，影响交换机的运行性能。如果用户设置的老化时间过长，以太网交换机可能会储存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致交换机无法依据网络的

6、变化更新MAC地址表。如果用户设置的老化时间太短，以太网交换机可能会删除有效的MAC地址表项。一般状况下，推举使用老化时间age的缺省值300秒。     　　在系统视图下进行以下配置: mac-address timer { aging age | no-aging }     　　     　　使用参数no-aging时表示不对MAC地址表项进行老化。     　　3．设置MAC地址表的老化时间     　　这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后，学习到的

7、MAC地址表项将和相应的端口绑定起来。如果某个MAC地址对应的主机长时间不上网或已移走，它仍然占用端口上的一个MAC地址表项，从而造成MAC地址在这5个MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的MAC地址表的老化时间，使长时间不上网的主机对应的MAC地址表项老化，从而使其他主机可以上网。缺省状况下，锁定端口对应的MAC地址表的老化时间为1小时。     　　在系统视图下进行以下配置：     　　lock-port mac-aging { age-time | no-age }     DHCP控制技术     　　DHCP Server可以自动为用户设置IP地址、

8、掩码、网关、DNS、WINS等网络参数，解决客户机位置变化〔如便携机或无线网络〕和客户机数量超过可分配的IP地址的状况，简化用户设置，提升管理效率。但在DHCP管理使用上，存在着DHCP Server冒充、DHCP Server的Dos攻击、用户随意指定IP地址造成网络地址冲突等问题。     　　1．三层交换机的DHCP Relay技术     　　早期的DHCP协议只适用于DHCP Client和Server处于同一个子网内的状况，不可以跨网段工作。因此，为实现动态主机配置，必需要为每一个子网设置一个DHCP Server，这显然是不经济的。DHCP Relay的引入解决了这一难题：局

9、域网内的DHCP Client可以通过DHCP Relay与其他子网的DHCP Server通信，最终取得合法的IP地址。这样，多个网络上的DHCP Client可以使用同一个DHCP Server，既节省了成本，又便于进行集中管理。DHCP Relay配置包括：     　　〔1〕配置IP 地址     　　为了提升可靠性，可以在一个网段设置主、备DHCP Server。主、备DHCP Server构成了一个DHCP Server组。可以通过下面的命令指定主、备DHCP Server的IP地址。     　　在系统视图下进行以下配置:     　　dhcp-server groupN

10、o ip ipaddress1 [ ipaddress2 ]     　　〔2〕配置VLAN接口对应的组     　　在VLAN接口视图下进行以下配置：     　　dhcp-server groupNo     　　〔3〕使能/禁止VLAN 接口上的DHCP安全特性     　　使能VLAN接口上的DHCP安全特性将启动VLAN接口下用户地址合法性的检查，这样可以杜绝用户私自配置IP地址扰乱网络秩序，同DHCP Server配合，快速、准确定位病毒或干扰源。     　　在VLAN接口视图下进行以下配置：     　　address-check enable     　　〔4

11、〕配置用户地址表项     　　为了使配置了DHCP Relay的VLAN内的合法固定IP地址用户能够通过DHCP安全特性的地址合法性检查，必需要使用此命令为固定IP地址用户添加一条IP地址和MAC地址对应关系的静态地址表项。如果有另外一个非法用户配置了一个静态IP地址，该静态IP地址与合法用户的固定IP地址发生冲突，执行DHCP Relay功能的以太网交换机，可以识别出非法用户，并拒绝非法用户的IP与MAC地址的绑定请求。     　　在系统视图下进行以下配置：     　　dhcp-security static ip_address mac_address     　　2．其它地

12、址管理技术     　　在二层交换机上，为了使用户能通过合法的DHCP服务器获取IP地址，DHCP-Snooping安全机制同意将端口设置为信任端口与不信任端口。其中信任端口连接DHCP服务器或其他交换机的端口；不信任端口连接用户或网络。不信任端口将接收到的DHCP服务器响应的DHCPACK和DHCPOFF报文丢掉；而信任端口将此DHCP报文正常转发，从而保证了用户获取正确的IP地址。     　　〔1〕开启/关闭交换机DHCP-Snooping 功能     　　缺省状况下，以太网交换机的DHCP-Snooping功能处于关闭状态。     　　在系统视图下进行以下配置，启用DHCP

13、Snooping功能：     　　dhcp-snooping     　　〔2〕配置端口为信任端口     　　缺省状况下，交换机的端口均为不信任端口。     　　在以太网端口视图下进行以下配置：     　　dhcp-snooping trust     　　(3)配置VLAN接口通过DHCP方式获取IP地址     　　在VLAN 接口视图下进行以下配置:     　　ip address dhcp-alloc     　　〔4〕访问管理配置--配置端口/IP地址/MAC地址的绑定     　　可以通过下面的命令将端口、IP地址和MAC地址绑定在一起，支持Port

14、IP、Port+MAC、Port+IP+MAC、IP+MAC绑定方式，防止私自移动机器设备或乱用MAC地址攻击、IP地址盗用攻击等，但这种方法工作量庞大。     ACL〔访问控制列表〕技术     　　为了过滤通过网络设备的数据包，必需要配置一系列的匹配规则，以识别必需要过滤的对象。在识别出特定的对象之后，网络设备才能依据预先设定的策略同意或禁止相应的数据包通过。访问控制列表〔Access Control List，ACL〕就是用来实现这些功能。ACL通过一系列的匹配条件对数据包进行分类，这些条件可以是数据包的源地址、目的地址、端口号等。ACL应用在交换机全局或端口，交换机依据ACL中指定的条件来检测数据包，从而决定是转发还是丢掉该数据包。访问控制列表又可分为以下几种类型。     　　基本访问控制列表：依据三层源IP制定规则，对数据包进行相应的分析处理。     　　高级访问控制列表：依据源IP、目的IP、使用的TCP或UDP端口号、报文优先级等数据包的属性信息制定分类规则，对数据包进行相应的处理。高级访问控制列表支持对三种报文优先级的分析处理：TOS(Type Of Service)优先级、IP优先级和DSCP优先级。