谈交换机安全防范技术的应用.docVIP

谈交换机安全防范技术的应用 　　【摘要】社会在飞速的发展，电脑网络也在进步，并且普遍的被使用，但是在互联网当中存在了很多病毒，黑客攻击等，如今互联网的安全问题不得不引起重视，笔者对交换机的安全防范进行一些分析，加强交换机的安全防范，对互联网的安全是一个有效的防范技术。 　　【关键词】认证；广播风堡；MAC地址；DHCP控制 　　中图分类号：TN916.43文献标识码： A 文章编号： 　　一、前言 　　笔者简略提出一些针对常用交换机的安全防范技术，可以把攻击带来的影响尽量的降低，把交换机的负载给减轻，使得局域网在运行的时候保持稳定的状态，把交换机本身支持的一些功能运用起来，这些技术，能够把网络故障发生的概率降到最低。 　　二、加强IEEE802.1x的安全认证 　　802.lx的协议，把交换LAN架构的物理特性良好的利用起来，在LAN端口上的设备上实现了认证效果。交换机的端口设备发出认证请求,然后由交换设备透传报文到认证服务器，服务器通过验证，判定其认证的合法性，如果成功验证，报文就会被传送回来，此时的交换机要把端口打开，在此端口下连接的设备被准许使用局域网，如果没有通过认证，接入要求就不能被准许。在802.lx的协议当中，想要完成基于端口的访问控制的用户认证和授权，需要具备下面三个元素： 　　客户端:通常都是在用户工作站上安装,如果用户需要上网，把客户端程序进行激活,然后把用户名和口令输入，连接的请求就会通过客户端程序输送出来。 　　认证系统:太网系统当中的认证一般指交换机认证，把用户的认证信息上传和下达工作就是其主要的功能，通过认证结果把端口打开、关闭。 　　认证服务器:把客户端发送来的身份标识，也就是用户名和口令，进行验证，对用户使用网络系统提供的网络服务的权利进行判定，通过验证结果向交换机发出打开、关闭端口的命令。 　　三、控制广播风暴的一些技术 　　一些受到损坏的网络设备接口和网卡；出现了一些黑客工具；一些受到病毒感染的计算机等等,这些都是广播风暴产生的因素，通过交换机转发大量的广播帧，到每个端口，广播风暴的产生，在一定程度上消耗了链路带宽和硬件资源。笔者觉得可以通过对以太网端口、vLAN的广播风暴抑制比进行设置，这样就能够对从广播风暴产生有效的抑制作用，把网络拥堵现象给避开。 　　对广播风暴抑制比进行控制。在端口上设置限制命令，控制通过的广播流量，当设置超过用户，广播流量的值后, 对广播流量系统将处理为丢弃,降低到合理的范围，广播所占的比例流量适中时, 作为参数的最大端口流量广播百分比的线速度, 越小的百分比,表示越小的允许通过的流量广播。 　　四、控制技术的MAC地址 　　过于庞大的地址拟C表, 下降交换机以太网的性能转发会导致。欺骗产生的MAC地址，成为MAC利用攻击的工具, 交换机的以C表需要快速填满, 填满以C表后, 通过交换机处理报文，以广播的方式处理,流量以洪泛方式发送到所有接口,这时利用各种噢探工具攻击者可以得到网络信息。设置端口可以通过上MAC数量地址、以C老化地址时间,来抑制MAC攻击。 　　1、可学习到的MAC地址数设置最多 　　最多学习到的做C地址数，以太网端口设置, 控制以太网交换机，用户可以维护以C地址表的数量表项。如果设置的用户值为count,则该端口学习到的MAC地址条数达到count时, 将不再对该端口进行MAC地址学习。缺省情况下, 没有限制对于交换机端口可以最多学习到的拟C数目地址。 　　2、系统MAC地址老化时间设置 　　有效实现做C地址老化的功能，合适的老化时间设置。过短或者过长设置用户的时间老化,都可能导致目的拟C地址的报文数据找不到，以太网交换机广播对交换机的运行性能产生重要的影响，要是用户在设置老化时间的时候设定很长的话，在以太网交换机当中就会出现了很多老旧的拟C地址表项,因此把C地址表的资源给消耗光，那么交换机就不能依据更新的网络来对琳C地址表进行更新，反之，设置很短老化时间的话，以太网交换机就会把有效的MAC地址表项给删除，笔者建议把老化时间age的缺省值设置为300秒。 　　3、设置MAC地址表的老化时间 　　使用相关命令mac→addressmax→mac→count，在以太网端口上进行设置，把mac地址表项和相应的端口进行绑定。如果长时间某个MAC地址对应的主机没有连接网络或者已经不在，但是端口上的MAC地址表项仍然在占用，这样的话就把锁定端口对应的MAC地址表的老化时间进行设置,将其老化，其他主机就可以连上网络了。 　　五、应用防火墙技术控制访问权限 　　在网络安全当中防火墙技术在网络安全技术的发展过程中显得相当重要，能够提供内外网络通讯的保障。防火墙过滤源地址，把外部非法IP地址进行隔绝，把外部网络上和业务无