在網(wǎng)絡實際環(huán)境中�����,隨著計算機性能的不斷提升�,針對網(wǎng)絡中的交換機、路由器或其它計算機等設備的攻擊趨勢越來越嚴重���,影響越來越劇烈���。交換機作為局域網(wǎng)信息交換的主要設備�,特別是核心��、匯聚交換機承載著極高的數(shù)據(jù)流量����,在突發(fā)異常數(shù)據(jù)或攻擊時����,極易造成負載過重或宕機現(xiàn)象。為了盡可能抑制攻擊帶來的影響����,減輕交換機的負載,使局域網(wǎng)穩(wěn)定運行�,交換機廠商在交換機上應用了一些安全防范技術,網(wǎng)絡管理人員應該根據(jù)不同的設備型號����,有效地啟用和配置這些技術,凈化局域網(wǎng)環(huán)境���。本文以華為3COM公司的Quidway系列交換機為例����,分兩期為您介紹常用的安全防范技術和配置方法�。以下您將學到廣播風暴控制技術�����、MAC地址控制技術��、DHCP控制技術及ACL技術�。
??? 廣播風暴控制技術
??? 網(wǎng)卡或其它網(wǎng)絡接口損壞���、環(huán)路��、人為干擾破壞�、黑客工具����、病毒傳播,都可能引起廣播風暴����,交換機會把大量的廣播幀轉發(fā)到每個端口上,這會極大地消耗鏈路帶寬和硬件資源��?����?梢酝ㄟ^設置以太網(wǎng)端口或VLAN的廣播風暴抑制比,從而有效地抑制廣播風暴,避免網(wǎng)絡擁塞����。
??? 1.廣播風暴抑制比
??? 可以使用以下命令限制端口上允許通過的廣播流量的大小����,當廣播流量超過用戶設置的值后,系統(tǒng)將對廣播流量作丟棄處理���,使廣播所占的流量比例降低到合理的范圍�����,以端口最大廣播流量的線速度百分比作為參數(shù)���,百分比越小,表示允許通過的廣播流量越小���。當百分比為100時���,表示不對該端口進行廣播風暴抑制。缺省情況下,允許通過的廣播流量為100%�,即不對廣播流量進行抑制。在以太網(wǎng)端口視圖下進行下列配置:
??? broadcast-suppression ratio
??? 2.為VLAN指定廣播風暴抑制比
??? 同樣�����,可以使用下面的命令設置VLAN允許通過的廣播流量的大小��。缺省情況下����,系統(tǒng)所有VLAN不做廣播風暴抑制,即max-ratio值為100%����。
???
??? MAC地址控制技術
??? 以太網(wǎng)交換機可以利用MAC地址學習功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡設備的MAC 地址。對于發(fā)往這些MAC地址的報文����,以太網(wǎng)交換機可以直接使用硬件轉發(fā)。如果MAC地址表過于龐大���,可能導致以太網(wǎng)交換機的轉發(fā)性能的下降���。MAC攻擊利用工具產(chǎn)生欺騙的MAC地址�,快速填滿交換機的MAC表���,MAC表被填滿后�����,交換機會以廣播方式處理通過交換機的報文���,流量以洪泛方式發(fā)送到所有接口��,這時攻擊者可以利用各種嗅探工具獲取網(wǎng)絡信息���。TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機����,會造成交換機負載過大�,網(wǎng)絡緩慢和丟包,甚至癱瘓�。可以通過設置端口上最大可以通過的MAC地址數(shù)量�、MAC地址老化時間,來抑制MAC攻擊�����。
??? 1.設置最多可學習到的MAC地址數(shù)
??? 通過設置以太網(wǎng)端口最多學習到的MAC地址數(shù),用戶可以控制以太網(wǎng)交換機維護的MAC地址表的表項數(shù)量�����。如果用戶設置的值為count��,則該端口學習到的MAC地址條數(shù)達到count 時����,該端口將不再對MAC地址進行學習。缺省情況下���,交換機對于端口最多可以學習到的MAC地址數(shù)目沒有限制���。
??? 在以太網(wǎng)端口視圖下進行下列配置:
??? mac-address max-mac-count count
??? 2.設置系統(tǒng)MAC地址老化時間
??? 設置合適的老化時間可以有效實現(xiàn)MAC地址老化的功能。用戶設置的老化時間過長或者過短�,都可能導致以太網(wǎng)交換機廣播大量找不到目的MAC地址的數(shù)據(jù)報文,影響交換機的運行性能�。如果用戶設置的老化時間過長,以太網(wǎng)交換機可能會保存許多過時的MAC地址表項�����,從而耗盡MAC地址表資源,導致交換機無法根據(jù)網(wǎng)絡的變化更新MAC地址表�����。如果用戶設置的老化時間太短���,以太網(wǎng)交換機可能會刪除有效的MAC地址表項����。一般情況下��,推薦使用老化時間age的缺省值300秒�����。
??? 在系統(tǒng)視圖下進行下列配置: mac-address timer { aging age | no-aging }
???
??? 使用參數(shù)no-aging時表示不對MAC地址表項進行老化���。
??? 3.設置MAC地址表的老化時間
??? 這里的鎖定端口就是指設置了最大學習MAC地址數(shù)的以太網(wǎng)端口。在以太網(wǎng)端口上使用命令mac-address max-mac-count設置端口能夠學習的最大地址數(shù)以后����,學習到的MAC地址表項將和相應的端口綁定起來。如果某個MAC地址對應的主機長時間不上網(wǎng)或已移走����,它仍然占用端口上的一個MAC地址表項�����,從而造成MAC地址在這5個MAC地址以外的主機將不能上網(wǎng)�����。此時可以通過設置鎖定端口對應的MAC地址表的老化時間�����,使長時間不上網(wǎng)的主機對應的MAC地址表項老化�,從而使其他主機可以上網(wǎng)�。缺省情況下,鎖定端口對應的MAC地址表的老化時間為1小時�����。
??? 在系統(tǒng)視圖下進行下列配置:
??? lock-port mac-aging { age-time | no-age }
??? DHCP控制技術
??? DHCP Server可以自動為用戶設置IP地址�、掩碼、網(wǎng)關��、DNS���、WINS等網(wǎng)絡參數(shù)�,解決客戶機位置變化(如便攜機或無線網(wǎng)絡)和客戶機數(shù)量超過可分配的IP地址的情況,簡化用戶設置���,提高管理效率��。但在DHCP管理使用上�,存在著DHCP Server冒充����、DHCP Server的Dos攻擊、用戶隨意指定IP地址造成網(wǎng)絡地址沖突等問題���。
??? 1.三層交換機的DHCP Relay技術
??? 早期的DHCP協(xié)議只適用于DHCP Client和Server處于同一個子網(wǎng)內(nèi)的情況�����,不可以跨網(wǎng)段工作�。因此����,為實現(xiàn)動態(tài)主機配置,需要為每一個子網(wǎng)設置一個DHCP Server����,這顯然是不經(jīng)濟的�。DHCP Relay的引入解決了這一難題:局域網(wǎng)內(nèi)的DHCP Client可以通過DHCP Relay與其他子網(wǎng)的DHCP Server通信��,最終取得合法的IP地址�。這樣,多個網(wǎng)絡上的DHCP Client可以使用同一個DHCP Server����,既節(jié)省了成本,又便于進行集中管理����。DHCP Relay配置包括:
??? (1)配置IP 地址
??? 為了提高可靠性���,可以在一個網(wǎng)段設置主��、備DHCP Server�。主���、備DHCP Server構成了一個DHCP Server組����。可以通過下面的命令指定主�����、備DHCP Server的IP地址����。
??? 在系統(tǒng)視圖下進行下列配置:
??? dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]
??? (2)配置VLAN接口對應的組
??? 在VLAN接口視圖下進行下列配置:
??? dhcp-server groupNo
??? ?。?)使能/禁止VLAN 接口上的DHCP安全特性
??? 使能VLAN接口上的DHCP安全特性將啟動VLAN接口下用戶地址合法性的檢查,這樣可以杜絕用戶私自配置IP地址擾亂網(wǎng)絡秩序�����,同DHCP Server配合�,快速、準確定位病毒或干擾源�。
??? 在VLAN接口視圖下進行下列配置:
??? address-check enable
??? (4)配置用戶地址表項
??? 為了使配置了DHCP Relay的VLAN內(nèi)的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查��,需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對應關系的靜態(tài)地址表項����。如果有另外一個非法用戶配置了一個靜態(tài)IP地址����,該靜態(tài)IP地址與合法用戶的固定IP地址發(fā)生沖突�,執(zhí)行DHCP Relay功能的以太網(wǎng)交換機��,可以識別出非法用戶�����,并拒絕非法用戶的IP與MAC地址的綁定請求���。
??? 在系統(tǒng)視圖下進行下列配置:
??? dhcp-security static ip_address mac_address
??? 2.其它地址管理技術
??? 在二層交換機上��,為了使用戶能通過合法的DHCP服務器獲取IP地址�����,DHCP-Snooping安全機制允許將端口設置為信任端口與不信任端口����。其中信任端口連接DHCP服務器或其他交換機的端口�����;不信任端口連接用戶或網(wǎng)絡。不信任端口將接收到的DHCP服務器響應的DHCPACK和DHCPOFF報文丟棄�;而信任端口將此DHCP報文正常轉發(fā),從而保證了用戶獲取正確的IP地址���。
??? ?���。?)開啟/關閉交換機DHCP-Snooping 功能
??? 缺省情況下���,以太網(wǎng)交換機的DHCP-Snooping功能處于關閉狀態(tài)����。
??? 在系統(tǒng)視圖下進行下列配置�����,啟用DHCP-Snooping功能:
??? dhcp-snooping
??? ?�。?)配置端口為信任端口
??? 缺省情況下�,交換機的端口均為不信任端口。
??? 在以太網(wǎng)端口視圖下進行下列配置:
??? dhcp-snooping trust
??? (3)配置VLAN接口通過DHCP方式獲取IP地址
??? 在VLAN 接口視圖下進行下列配置:
??? ip address dhcp-alloc
??? ?��。?)訪問管理配置--配置端口/IP地址/MAC地址的綁定
??? 可以通過下面的命令將端口���、IP地址和MAC地址綁定在一起,支持Port+IP��、Port+MAC�、Port+IP+MAC、IP+MAC綁定方式��,防止私自移動機器設備或濫用MAC地址攻擊����、IP地址盜用攻擊等,但這種方法工作量巨大�。
??? ACL(訪問控制列表)技術
??? 為了過濾通過網(wǎng)絡設備的數(shù)據(jù)包,需要配置一系列的匹配規(guī)則��,以識別需要過濾的對象�����。在識別出特定的對象之后����,網(wǎng)絡設備才能根據(jù)預先設定的策略允許或禁止相應的數(shù)據(jù)包通過。訪問控制列表(Access Control List���,ACL)就是用來實現(xiàn)這些功能���。ACL通過一系列的匹配條件對數(shù)據(jù)包進行分類��,這些條件可以是數(shù)據(jù)包的源地址���、目的地址、端口號等�。ACL應用在交換機全局或端口,交換機根據(jù)ACL中指定的條件來檢測數(shù)據(jù)包�,從而決定是轉發(fā)還是丟棄該數(shù)據(jù)包。訪問控制列表又可分為以下幾種類型��。
??? 基本訪問控制列表:根據(jù)三層源IP制定規(guī)則�,對數(shù)據(jù)包進行相應的分析處理。
??? 高級訪問控制列表:根據(jù)源IP���、目的IP����、使用的TCP或UDP端口號����、報文優(yōu)先級等數(shù)據(jù)包的屬性信息制定分類規(guī)則����,對數(shù)據(jù)包進行相應的處理����。高級訪問控制列表支持對三種報文優(yōu)先級的分析處理:TOS(Type Of Service)優(yōu)先級�����、IP優(yōu)先級和DSCP優(yōu)先級���。
