浅谈交换机安全防范技术的应用.docVIP

浅谈交换机安全防范技术的应用 　　[摘要]在这信息化的时代，计算机网络的不断发展和普及，网络攻击、病毒等网络安问题日益严重，针对以上提出一些常用的交换机安全防范技术，从而提高网络的安全性。 　　[关键词]认证 广播风暴 MAC地址 访问控制列表 　　中图分类号：TP3文献标识码：A 文章编号：1671－7597（2008）1220049－01 　　 　　为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，应用一定的策略，通过交换机本身支 　　持的一些功能，可以有效的减少发生网络故障的几率，下面就简单介绍一些常用的交换机安全防范技术。 　　 　　一、IEEE802.1x强安全认证 　　 　　802.1x协议利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，交换机端口上的设备首先发起认证请求，交换设备将该报文透传至认证服务器，在服务器验证认证是否合法，验证成功则返回报文，要求交换机打开端口，允许该端口下连的设备使用局域网，认证失败则不允许接入。 　　在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。 　　1．客户端：一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。 　　2．认证系统：在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。 　　3. 认证服务器：通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。 　　 　　二、广播风暴控制技术 　　 　　网络设备接口和网卡的损坏、黑客工具的使用、感染病毒的计算机等，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比，从而有效地抑制广播风暴，避免网络拥塞。 　　（一）广播风暴抑制比。可以使用命令限制端口上允许通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数，百分比越小，表示允许通过的广播流量越小。 　　（二）为VLAN指定广播风暴抑制比。同样，可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下，系统所有VLAN不做广播风暴抑制，即max-ratio值为100%%。对于某些经常产生大量广播包的VLAN，可以用一个较合理的广播风暴抑制比来限制广播包的传播，避免网络拥塞。 　　 　　三、MAC地址控制技术 　　 　　如果MAC地址表过于庞大，可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式发送到所有接口，这时攻击者可以利用各种嗅探工具获取网络信息。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间，来抑制MAC攻击。 　　（一）设置最多可学习到的MAC地址数。通过设置以太网端口最多学习到的MAC地址数，用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为count，则该端口学习到的MAC地址条数达到count时，该端口将不再对MAC地址进行学习。缺省情况下，交换机对于端口最多可以学习到的MAC地址数目没有限制。 　　（二）设置系统MAC地址老化时间。设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短，都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文，影响交换机的运行性能。如果用户设置的老化时间过长，以太网交换机可能会保存许多过时的MAC地址表项，从而耗尽MAC地址表资源，导致交换机无法根据网络的变化更新MAC地址表。如果用户设置的老化时间太短，以太网交换机可能会删除有效的MAC地址表项。一般情况下，推荐使用老化时间age的缺省值300秒。 　　（三）设置MAC地址表的老化时间。这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后，学习到的MAC地址表项将和相应的端口绑定起来。如果某个MAC地址对应的主机长时间不上网或已移走，它仍然占用端口上的一个MAC地址表项，从而造成MAC地址在这5个MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的MAC地址表的老化时间，使长时间不上网的主机对应的MAC地址表项老化，从而使