企業核心交換機的安全隱患

　　下面說一下核心交換機存在的安全隱患，和一些需要注意的問題，作為核心交換機它可以支持500個信息點以上大型企業應用的交換機為企業級交換機。

　　在網絡實際環境中，隨著計算機性能的不斷提升，針對網絡中的交換機、路由器或其它計算機等設備的攻擊趨勢越來越嚴重，影響越來越劇烈。交換機作為局域網信息交換的主要設備，特別是核心、匯聚交換機承載著極高的數據流量，在突發異常數據或攻擊時，極易造成負載過重或宕機現象。

　　為了盡可能抑制攻擊帶來的影響，減輕交換機的負載，使局域網穩定運行，核心交換機廠商在交換機上應用了一些安全防范技術，網絡管理人員應該根據不同的設備型號，有效地啟用和配置這些技術，淨化局域網環境。

　　本文以華為3COM公司的Quidway系列交換機為例，分兩期為您介紹常用的安全防范技術和配置方法。以下您將學到廣播風暴控制技術、MAC地址控制技術、DHCP控制技術及ACL技術。

　　廣播風暴控制技術

　　網卡或其它網絡接口損壞、環路、人為干擾破壞、黑客工具、病毒傳播，都可能引起廣播風暴，交換機會把大量的廣播幀轉發到每個端口上，這會極大地消耗鏈路帶寬和硬件資源。可以通過設置以太網端口或VLAN的廣播風暴抑制比，從而有效地抑制廣播風暴，避免網絡擁塞。

　　1.廣播風暴抑制比

　　可以使用以下命令限制端口上允許通過的廣播流量的大小，當廣播流量超過用戶設置的值後，系統將對廣播流量作丟棄處理，使廣播所占的流量比例降低到合理的范圍，以端口最大廣播流量的線速度百分比作為參數。

　　百分比越小，表示允許通過的廣播流量越小。當百分比為100時，表示不對該端口進行廣播風暴抑制。缺省情況下，允許通過的廣播流量為100%,即不對廣播流量進行抑制。在以太網端口視圖下進行下列配置。

　　2.為VLAN指定廣播風暴抑制比

　　同樣，可以使用下面的命令設置VLAN允許通過的廣播流量的大小。缺省情況下，系統所有VLAN不做廣播風暴抑制，即max-ratio值為100%.

　　MAC地址控制技術

　　以太網交換機可以利用MAC地址學習功能獲取與某端口相連的網段上各網絡設備的MAC 地址。對於發往這些MAC地址的報文，以太網交換機可以直接使用硬件轉發。如果MAC地址表過於龐大，可能導致以核心交換機的轉發性能的下降。

　　MAC攻擊利用工具產生欺騙的MAC地址，快速填滿交換機的MAC表，MAC表被填滿後，交換機會以廣播方式處理通過交換機的報文，流量以洪泛方式發送到所有接口，這時攻擊者可以利用各種嗅探工具獲取網絡信息。

　　TRUNK接口上的流量也會發給所有接口和鄰接交換機，會造成交換機負載過大，網絡緩慢和丟包，甚至癱瘓。可以通過設置端口上最大可以通過的MAC地址數量、MAC地址老化時間，來抑制MAC攻擊。

　　這裡的鎖定端口就是指設置了最大學習MAC地址數的以太網端口。在以太網端口上使用命令mac-address max-mac-count設置端口能夠學習的最大地址數以後，學習到的MAC地址表項將和相應的端口綁定起來。

　　如果某個MAC地址對應的主機長時間不上網或已移走，它仍然占用端口上的一個MAC地址表項，從而造成MAC地址在這5個MAC地址以外的主機 將不能上網。此時可以通過設置鎖定端口對應的MAC地址表的老化時間，使長時間不上網的主機對應的MAC地址表項老化，從而使其他主機可以上網。缺省情況 下，鎖定端口對應的MAC地址表的老化時間為1小時。