网络技术 网络安全与维护 网络设备安全.pptxVIP

网络设备安全本节目标了解交换技术与交换机 及其安全了解路由技术与路由器 及其安全什么是交换机 交换机是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。 交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。二层交换机二层交换技术是现在网络中发展比较成熟的，二层交换机属数据链路层设备，工作在链路层。可以识据包中的MAC地址信息，根据MAC地址进行转发，并将这些MAC地址与对应的端口记录在自己内部的一个地址表中。 具体的工作流程如下： (1) 当交换机从某个端口收到一个数据包，它先读取包头中的源MAC地 址，这样它就知道源MAC地址的机器是连在哪个端口上 。 (2) 再去读取包头中的目的MAC地址，并在地址表中查找相应的端口。 (3) 如表中有与这目的MAC地址对应的端口，把数据包直接复制到这端口上； （ 4) 如表中找不到相应的端口则把数据包广播到所有端口上，当目的机器对源机器回应时，交换机又可以学习一目的MAC地址与哪个端口对应，在下次传送数据时就不再需要对所有端口进行广播了。以太网交换机特点：交换机用ASIC处理数据的转发。ASIC (Application Specific Integrated Circuit)专用集成电路以太网交换机工作原理 以太网交换机的原理很简单，它检测从以太端口来的数据包的源和目的地的MAC地址，然后与交换机内部的MAC地址表进行比较，如果数据包的MAC层地址不在表中，则将该地址加入表中，并将数据包发送给相应的目的端口。特点： 交换机用ASIC处理数据的转发。ASIC (Application Specific Integrated Circuit)交换式以太网技术的优点 交换式以太网不需要改变网络其它硬件，包括电缆和用户的网卡，仅需要用交换式交换机改变共享式HUB，节省用户网络升级的费用。 可在高速与低速网络间转换，实现不同网络的协同。目前大多数交换式以太网都具有100MBPS的端口，通过与之相对应的100MBPS的网卡接入到服务器上，暂时解决了10MBPS的瓶颈，成为网络局域网升级时首选的方案。 交换式以太网技术的优点 它同时提供多个通道，比传统的共享式集线器提供更多的带宽，传统的共享式10MBPS/100MPS以太网采用广播式通信方式，每次只能在一对用户间进行通信，如果发生碰撞还得重试，而交换式以太网允许不同用户间进行传送。 特别是在时间响应方面的优点，使的局域网交换机倍受青睐。它以比路由器低的成本却提供了比路由器宽的带宽、高的速度，除非有上广域网（WAN）的要求，否 则，交换机有替代路由器的趋势。桥与交换机的对比Bridging基于软件LAN Switching基于硬件一 (ASIC)交换机有更多的端口交换机的三个功能 地址学习转发和过滤环路避免交换机MAC地址表的建立过程 MAC address tableAB0260.8c018c01.3333E0E1E2E3CD0260.8c018c01.4444Initial MAC address table is empty交换机MAC地址表的建立过程 MAC address tableE0: 0260.8c01.1111E2: 0260.8c01.2222ABE1: 0260.8c01.3333E3: 0260.8c018c018c01.3333E0E1E2E3CD0260.8c018c01.4444交换方式交换机支持三种交换方式，分别为：1.直通方式2.改进直通方式3.存储转发方式常见交换机攻击之一生成树攻击 常见的拒绝服务攻击就可以利用这个漏洞，进行生成树攻击。如黑客可以把一台计算机连接到不止一个交换机上，然后发送网桥ID很低的网桥数据协议单元，就可以欺骗交换机，使交换机认为这是最近的捷径。这就导致了生成树协议重新收敛，从而引起回路，就可能导致网络崩溃。　在一些安全性要求比较要的企业中，设置必要的冗余线路是必要的。若网络并不复杂的话，则建议采用手工转换的方法，而禁止使用生成树协议。若一定要使用生成树协议的，则就需要经产对网络进行稽核，看看是否存在回路。常见的交换机攻击之二：MAC地址攻击 在交换机中，一般是把MAC地址存储在内容可寻址存储器中，英文简称为CAM，它是一个128K大小的保留内存，专门用来存储MAC地址以及对应的端口号，以便交换机快速查询。现在如果病毒向CAM (内容可寻址存储器)发送大量的数据包，就会导致交换机开始向各个端口发送大批量的信息。显然，这给网络安全埋下了隐患，最后甚至会导致