交換機安全防範技術

在網絡實際環境中，隨着計算機性能的不斷提高，針對網絡中的交換機、路由器或其它計算機等設備的***趨勢愈來愈嚴重，影響愈來愈劇烈。交換機做爲局域網信息交換的主要設備，特別是核心、匯聚交換機承載着極高的數據流量，在突發異常數據或***時，極易形成負載太重或宕機現象。爲了儘量抑制***帶來的影響，減輕交換機的負載，使局域網穩定運行，交換機廠商在交換機上應用了一些安全防範技術，網絡管理人員應該根據不一樣的設備型號，有效地啓用和配置這些技術，淨化局域網環境。本文以華爲3COM公司的Quidway系列交換機爲例，分兩期爲您介紹經常使用的安全防範技術和配置方法。如下您將學到廣播風暴控制技術、MAC地址控制技術、DHCP控制技術及ACL技術。

　　廣播風暴控制技術
　　網卡或其它網絡接口損壞、環路、人爲干擾破壞、***工具、病毒傳播，均可能引發廣播風暴，交換機會把大量的廣播幀轉發到每一個端口上，這會極大地消耗鏈路帶寬和硬件資源。能夠經過設置以太網端口或VLAN的廣播風暴抑制比,從而有效地抑制廣播風暴，避免網絡擁塞。

　　1.廣播風暴抑制比
　　可使用如下命令限制端口上容許經過的廣播流量的大小，當廣播流量超過用戶設置的值後，系統將對廣播流量做丟棄處理，使廣播所佔的流量比例下降到合理的範圍，以端口最大廣播流量的線速度百分比做爲參數，百分比越小，表示容許經過的廣播流量越小。當百分比爲100時，表示不對該端口進行廣播風暴抑制。缺省狀況下，容許經過的廣播流量爲100%，即不對廣播流量進行抑制。在以太網端口視圖下進行下列配置：
　　broadcast-suppression ratio

　　2.爲VLAN指定廣播風暴抑制比
　　一樣，可使用下面的命令設置VLAN容許經過的廣播流量的大小。缺省狀況下，系統全部VLAN不作廣播風暴抑制，即max-ratio值爲100%。
　　
　　MAC地址控制技術
　　以太網交換機能夠利用MAC地址學習功能獲取與某端口相連的網段上各網絡設備的MAC 地址。對於發往這些MAC地址的報文，以太網交換機能夠直接使用硬件轉發。若是MAC地址表過於龐大，可能致使以太網交換機的轉發性能的降低。MAC***利用工具產生欺騙的MAC地址，快速填滿交換機的MAC表，MAC表被填滿後，交換機會以廣播方式處理經過交換機的報文，流量以洪泛方式發送到全部接口，這時***者能夠利用各類嗅探工具獲取網絡信息。TRUNK接口上的流量也會發給全部接口和鄰接交換機，會形成交換機負載過大，網絡緩慢和丟包，甚至癱瘓。能夠經過設置端口上最大能夠經過的MAC地址數量、MAC地址老化時間，來抑制MAC***。

　　1.設置最多可學習到的MAC地址數
　　經過設置以太網端口最多學習到的MAC地址數，用戶能夠控制以太網交換機維護的MAC地址表的表項數量。若是用戶設置的值爲count，則該端口學習到的MAC地址條數達到count 時，該端口將再也不對MAC地址進行學習。缺省狀況下，交換機對於端口最多能夠學習到的MAC地址數目沒有限制。
　　在以太網端口視圖下進行下列配置：
　　mac-address max-mac-count count

　　2.設置系統MAC地址老化時間
　　設置合適的老化時間能夠有效實現MAC地址老化的功能。用戶設置的老化時間過長或者太短，均可能致使以太網交換機廣播大量找不到目的MAC地址的數據報文，影響交換機的運行性能。若是用戶設置的老化時間過長，以太網交換機可能會保存許多過期的MAC地址表項，從而耗盡MAC地址表資源，致使交換機沒法根據網絡的變化更新MAC地址表。若是用戶設置的老化時間過短，以太網交換機可能會刪除有效的MAC地址表項。通常狀況下，推薦使用老化時間age的缺省值 300秒。
　　在系統視圖下進行下列配置: mac-address timer { aging age | no-aging }
　　
　　使用參數no-aging時表示不對MAC地址表項進行老化。

　　3．設置MAC地址表的老化時間
　　這裏的鎖定端口就是指設置了最大學習MAC地址數的以太網端口。在以太網端口上使用命令mac-address max-mac-count設置端口可以學習的最大地址數之後，學習到的MAC地址表項將和相應的端口綁定起來。若是某個MAC地址對應的主機長時間不上網或已移走，它仍然佔用端口上的一個MAC地址表項，從而形成MAC地址在這5個MAC地址之外的主機將不能上網。此時能夠經過設置鎖定端口對應的MAC 地址表的老化時間，使長時間不上網的主機對應的MAC地址表項老化，從而使其餘主機能夠上網。缺省狀況下，鎖定端口對應的MAC地址表的老化時間爲1小時。

　　在系統視圖下進行下列配置：
　　lock-port mac-aging { age-time | no-age }

DHCP控制技術
　　DHCP Server能夠自動爲用戶設置IP地址、掩碼、網關、DNS、WINS等網絡參數，解決客戶機位置變化（如便攜機或無線網絡）和客戶機數量超過可分配的 IP地址的狀況，簡化用戶設置，提升管理效率。但在DHCP管理使用上，存在着DHCP Server冒充、DHCP Server的Dos***、用戶隨意指定IP地址形成網絡地址衝突等問題。

　　1．三層交換機的DHCP Relay技術
　　早期的DHCP協議只適用於DHCP Client和Server處於同一個子網內的狀況，不能夠跨網段工做。所以，爲實現動態主機配置，須要爲每個子網設置一個DHCP Server，這顯然是不經濟的。DHCP Relay的引入解決了這一難題：局域網內的DHCP Client能夠經過DHCP Relay與其餘子網的DHCP Server通訊，最終取得合法的IP地址。這樣，多個網絡上的DHCP Client可使用同一個DHCP Server，既節省了成本，又便於進行集中管理。DHCP Relay配置包括：

　　（1）配置IP 地址
　　爲了提升可靠性，能夠在一個網段設置主、備DHCP Server。主、備DHCP Server構成了一個DHCP Server組。能夠經過下面的命令指定主、備DHCP Server的IP地址。
　　在系統視圖下進行下列配置:
　　dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]

　　（2）配置VLAN接口對應的組
　　在VLAN接口視圖下進行下列配置：
　　dhcp-server groupNo

　　（3）使能/禁止VLAN 接口上的DHCP安全特性
　　使能VLAN接口上的DHCP安全特性將啓動VLAN接口下用戶地址合法性的檢查，這樣能夠杜絕用戶私自配置IP地址擾亂網絡秩序，同DHCP Server配合，快速、準肯定位病毒或干擾源。
　　在VLAN接口視圖下進行下列配置：
　　address-check enable

　　（4）配置用戶地址表項
　　爲了使配置了DHCP Relay的VLAN內的合法固定IP地址用戶可以經過DHCP安全特性的地址合法性檢查，須要使用此命令爲固定IP地址用戶添加一條IP地址和MAC地址對應關係的靜態地址表項。若是有另一個非法用戶配置了一個靜態IP地址，該靜態IP地址與合法用戶的固定IP地址發生衝突，執行DHCP Relay功能的以太網交換機，能夠識別出非法用戶，並拒絕非法用戶的IP與MAC地址的綁定請求。
　　在系統視圖下進行下列配置：
　　dhcp-security static ip_address mac_address

　　2．其它地址管理技術
　　在二層交換機上，爲了使用戶能經過合法的DHCP服務器獲取IP地址，DHCP-Snooping安全機制容許將端口設置爲信任端口與不信任端口。其中信任端口鏈接DHCP服務器或其餘交換機的端口；不信任端口鏈接用戶或網絡。不信任端口將接收到的DHCP服務器響應的DHCPACK和DHCPOFF 報文丟棄；而信任端口將此DHCP報文正常轉發，從而保證了用戶獲取正確的IP地址。

　　（1）開啓/關閉交換機DHCP-Snooping 功能
　　缺省狀況下，以太網交換機的DHCP-Snooping功能處於關閉狀態。
　　在系統視圖下進行下列配置，啓用DHCP-Snooping功能：
　　dhcp-snooping

　　（2）配置端口爲信任端口
　　缺省狀況下，交換機的端口均爲不信任端口。
　　在以太網端口視圖下進行下列配置：
　　dhcp-snooping trust

　　(3)配置VLAN接口經過DHCP方式獲取IP地址
　　在VLAN 接口視圖下進行下列配置:
　　ip address dhcp-alloc

　　（4）訪問管理配置——配置端口/IP地址/MAC地址的綁定
　　能夠經過下面的命令將端口、IP地址和MAC地址綁定在一塊兒，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC綁定方式，防止私自移動機器設備或濫用MAC地址***、IP地址盜用***等，但這種方法工做量巨大。
ACL（訪問控制列表）技術
　　爲了過濾經過網絡設備的數據包，須要配置一系列的匹配規則，以識別須要過濾的對象。在識別出特定的對象以後，網絡設備才能根據預先設定的策略容許或禁止相應的數據包經過。訪問控制列表（Access Control List，ACL）就是用來實現這些功能。ACL經過一系列的匹配條件對數據包進行分類，這些條件能夠是數據包的源地址、目的地址、端口號等。ACL應用在交換機全局或端口，交換機根據ACL中指定的條件來檢測數據包，從而決定是轉發仍是丟棄該數據包。訪問控制列表又可分爲如下幾種類型。

　　基本訪問控制列表：根據三層源IP制定規則，對數據包進行相應的分析處理。

　　高級訪問控制列表：根據源IP、目的IP、使用的TCP或UDP端口號、報文優先級等數據包的屬性信息制定分類規則，對數據包進行相應的處理。高級訪問控制列表支持對三種報文優先級的分析處理：TOS(Type Of Service)優先級、IP優先級和DSCP優先級。

　　二層訪問控制列表：根據源MAC地址、源VLAN ID、二層協議類型、報文二層接收端口、報文二層轉發端口、目的MAC地址等二層信息制定規則，對數據進行相應處理。

　　用戶自定義訪問控制列表：根據用戶的定義對二層數據幀的前80個字節中的任意字節進行匹配，對數據報文做出相應的處理。正確使用用戶自定義訪問控制列表須要用戶對二層數據幀的構成有深刻的瞭解。

　　訪問控制列表在網絡設備中有着普遍的應用，訪問控制列表配置、啓用包括如下幾個步驟，最好依次進行，其中前兩個步驟能夠不用配置，採用默認值。

　　(1)配置時間段
　　在系統視圖下使用time-range命令配置時間段。例如，若是想在每週的上班時間8:00--16:00控制用戶訪問，可使用下面的命令:
　　time-range ourworingtime 8:00 to 16:00 working-day

　　(2)選擇交換機使用的流分類規則模式
　　交換機只能選擇一種流分類規則模式：二層ACL模式或者三層ACL模式。在二層ACL模式下，只有二層ACL能夠被定義、激活或者被其餘應用引用，三層 ACL模式相似。能夠經過下面的命令來選擇使用L2或L3模式的流分類規則。缺省狀況下，選擇使用IP-based流分類規則模式，即L3流分類規則。

　　在系統視圖下進行下列配置：
　　acl mode { ip-based | link-based }
　　(3)定義訪問控制列表（命令較多，只以高級訪問控制列表爲例）
　　①進入相應的訪問控制列表視圖
　　acl { number acl-number | name acl-name advanced } [ match-order { config | auto } ]

　　②定義訪問列表的子規則
　　在系統視圖下使用rule命令配置規則。
　　例如，若是想控制內網10.10.2.0/24用戶在工做時間使用ftp下載，可使用下面的命令：
　　acl number 3006
　　rule 1 deny tcp source 10.10.2.0 255.255.255.0 destination any destination-port eq ftp time-range ourworingtime

　　③激活訪問控制列表
　　不一樣的交換機型號配置命令不太相同，以S6500系列爲例，在QoS 視圖下進行下列配置：
　　packet-filter inbound { ip-group { acl-number | acl-name } [ rule rule ] | link-group { acl-number | acl-name } [ rule rule ] }
　流量及端口限速控制技術
　　爲了防止因大流量數據傳輸引發的端口阻塞，消除惡意用戶或者中毒用戶對網絡的影響，能夠採用流量及端口限速控制技術。
<BR>　　配置端口流量閾值
　　經過配置端口流量閾值，系統能夠週期性地對端口的數據流量進行監控。當端口的數據流量超出配置的閾值後，系統將根據指定的方式進行處理：自動關閉端口併發送告警信息或僅發送告警信息。在以太網端口視圖下配置端口的流量閾值及超出閾值後的處理方式：

　　flow-constrain time-value flow-value { bps | pps }
　　flow-constrain method { shutdown | trap }

　　流量監管
　　流量監管是基於流的速率限制，它能夠監督某一流量的速率，若是流量超出指定的規格，就採用相應的措施，如丟棄那些超出規格的報文或從新設置它們的優先級。

　　端口限速
　　端口限速就是基於端口的速率限制，它對端口輸出報文的總速率進行限制。

　　TCP屬性及CPU負載控制技術
　　***掃描、蠕蟲病毒等都會引發過多TCP鏈接，CPU負載太重與此也有關係，適當地調整交換機的TCP屬性和送達CPU的報文，能夠有效地下降CPU負載。

　　配置TCP 屬性
　　synwait定時器：當發送SYN報文時，TCP啓動synwait定時器，若是synwait超時前未收到迴應報文，則TCP鏈接將被終止。synwait定時器的超時時間取值範圍爲2～600秒，缺省值爲75秒：
　　tcp timer syn-timeout time-value

　　finwait定時器：當TCP的鏈接狀態由FIN_WAIT_1變爲FIN_WAIT_2時，啓動finwait 定時器，若是finwait定時器超時前仍未收到FIN報文，則TCP鏈接被終止。finwait的取值範圍爲76～3600秒，finwait的缺省值爲675秒：
　　tcp timer fin-timeout time-value

　　面向鏈接Socket的接收和發送緩衝區的大小：範圍爲1～32K字節，缺省值爲4K字節：
　　tcp window window-size

　　配置特殊IP報文是否送CPU處理
　　在交換機的IP報文轉發過程當中，一般重定向、TTL超時及路由不可達的報文會送到CPU，CPU在收到以上報文後會通知對方處理。但若是配置錯誤或有人惡意***，則會形成CPU負載太重，這時即可經過下面的命令設置相應報文不送CPU處理，以保護系統的正常運行。缺省狀況下，重定向、路由不可達的報文不送CPU處理，TTL超時報文送CPU處理：
　　undo ip { redirects | ttl-expires | unreachables }
ARP技術
　　IP地址不能直接用來進行通訊，由於鏈路層的網絡設備只能識別MAC地址。ARP用於將IP地址解析爲MAC地址，ARP動態執行並自動尋求IP地址到以太網MAC地址的解析，無需管理員的介入，也能夠手工維護。一般將手工配置的IP地址到MAC地址的映射，稱之爲靜態ARP。

　　免費ARP技術經過對外發送免費ARP報文，防止經過各類ARP欺騙手段產生的***。
　　
　　動態ARP老化定時器
　　交換機容許用戶指定動態ARP老化定時器的時間。動態地址表的老化時間是指在該表項從交換機地址表中刪除以前的生存時間，若定時器超時，就將該表項從地址表中刪除。缺省狀況下，動態ARP老化定時器爲20分鐘：
　　arp timer aging aging-time

　　免費ARP技術
　　免費ARP功能：網絡中設備能夠經過發送免費ARP報文來肯定其餘設備的IP地址是否與本身衝突。若是發送免費ARP報文的設備正好改變了硬件地址，那麼這個報文就能夠通知其餘設備及時更新高速緩存中舊的硬件地址。例如：設備收到一個免費ARP報文後，若是高速緩存中已存在此報文對應的ARP表項，那麼此設備就用免費ARP報文中攜帶的發送端硬件地址（如以太網地址）對高速緩存中相應的內容進行更新。設備接收到任何免費ARP報文都要完成這個操做。

　　免費ARP報文的特色：報文中攜帶的源IP和目的IP地址都是本機地址，報文源MAC地址是本機MAC地址。當設備收到免費ARP報文後，若是發現報文中的IP地址和本身的IP地址衝突，則給發送免費ARP報文的設備返回一個ARP應答，告知該設備IP地址衝突。缺省狀況下，交換機的免費ARP報文發送功能處於開啓狀態，免費ARP報文學習功能處於關閉狀態。在系統視圖下免費ARP的配置過程以下：
　　arp send-gratuitous enable
　　gratuitous-arp-learning enable
　　
　　登陸和訪問交換機控制技術
　　目前，以太網交換機提供了多種用戶登陸、訪問設備的方式，主要有經過Console口、SNMP訪問、經過TELNET或SSH訪問和經過HTTP訪問等方式。以太網交換機提供對這幾種訪問方式進行安全控制的特性，防止非法用戶登陸、訪問交換機設備。

　　安全控制分爲兩級：第一級安全經過控制用戶的鏈接實現，經過配置ACL對登陸用戶進行過濾，只有合法用戶才能和交換機設備創建鏈接；第二級安全主要經過用戶口令認證明現，鏈接到設備的用戶必須經過口令認證才能真正登陸到設備。
設置口令
　　爲防止未受權用戶的非法侵入，必須在不一樣登陸和訪問的用戶界面（AUX用戶界面用於經過Console口對以太網交換機進行訪問， VTY用戶界面用於經過Telnet對以太網交換機進行訪問）設置口令，包括容易忽略的SNMP的訪問口令（必定不要用「public」的默認口令）和 Boot Menu口令，同時設置登陸和訪問的默認級別和切換口令。

　　在不一樣登陸和訪問的用戶界面，使用以下命令設置口令：
　　authentication-mode password
　　set authentication password { cipher | simple } password

　　配置ACL對登陸用戶進行過濾
　　經過配置ACL對登陸用戶進行過濾控制，能夠在進行口令認證以前將一些惡意或者不合法的鏈接請求過濾掉，保證設備的安全。配置ACL對登陸用戶進行過濾控制須要定義訪問控制列表和引用訪問控制列表。

　　配置舉例及步驟：僅容許來自10.10.1.66和10.10.1.78的TELNET用戶訪問交換機： 　　# 定義基本訪問控制列表。 　　[Quidway] acl number 2008 match-order config 　　[Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0 　　[Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0 　　[Quidway-acl-basic-2008] quit 　　# 引用訪問控制列表。 　　[Quidway] user-interface vty 0 4 　　[Quidway-user-interface-vty0-4] acl 2008 inbound