我們都知道，在以太網(wǎng)交換機(jī)技術(shù)中，風(fēng)暴控制技術(shù)與安全防范技術(shù)在其中起著非常重要的作用，保證我們的局域網(wǎng)的網(wǎng)絡(luò)安全。在網(wǎng)絡(luò)實(shí)際環(huán)境中，隨著計(jì)算機(jī)性能的不斷提升，針對(duì)網(wǎng)絡(luò)中的以太網(wǎng)交換機(jī)、路由器或其它計(jì)算機(jī)等設(shè)備的攻擊趨勢(shì)越來(lái)越嚴(yán)重，影響越來(lái)越劇烈。以太網(wǎng)交換機(jī)作為局域網(wǎng)信息交換的主要設(shè)備。

特別是核心、匯聚交換機(jī)承載著極高的數(shù)據(jù)流量，在突發(fā)異常數(shù)據(jù)或攻擊時(shí)，極易造成負(fù)載過(guò)重或宕機(jī)現(xiàn)象。為了盡可能抑制攻擊帶來(lái)的影響，減輕以太網(wǎng)交換機(jī)的負(fù)載，使局域網(wǎng)穩(wěn)定運(yùn)行，以太網(wǎng)交換機(jī)廠商在交換機(jī)上應(yīng)用了一些安全防范技術(shù)，網(wǎng)絡(luò)管理人員應(yīng)該根據(jù)不同的設(shè)備型號(hào)，有效地啟用和配置這些技術(shù)，凈化局域網(wǎng)環(huán)境。本文以華為3COM公司的Quidway系列交換機(jī)為例，分兩期為您介紹常用的安全防范技術(shù)和配置方法。以下您將學(xué)到廣播風(fēng)暴控制技術(shù)、MAC地址控制技術(shù)、DHCP控制技術(shù)及ACL技術(shù)。

廣播風(fēng)暴控制技術(shù)

網(wǎng)卡或其它網(wǎng)絡(luò)接口損壞、環(huán)路、人為干擾破壞、黑客工具、病毒傳播，都可能引起廣播風(fēng)暴，以太網(wǎng)交換機(jī)會(huì)把大量的廣播幀轉(zhuǎn)發(fā)到每個(gè)端口上，這會(huì)極大地消耗鏈路帶寬和硬件資源?？梢酝ㄟ^(guò)設(shè)置以太網(wǎng)端口或VLAN的廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴，避免網(wǎng)絡(luò)擁塞。

1.廣播風(fēng)暴抑制比

可以使用以下命令限制端口上允許通過(guò)的廣播流量的大小，當(dāng)廣播流量超過(guò)用戶設(shè)置的值后，系統(tǒng)將對(duì)廣播流量作丟棄處理，使廣播所占的流量比例降低到合理的范圍，以端口最大廣播流量的線速度百分比作為參數(shù)，百分比越小，表示允許通過(guò)的廣播流量越小。當(dāng)百分比為100時(shí)，表示不對(duì)該端口進(jìn)行廣播風(fēng)暴抑制。缺省情況下，允許通過(guò)的廣播流量為100%，即不對(duì)廣播流量進(jìn)行抑制。在以太網(wǎng)端口視圖下進(jìn)行下列配置：broadcast-suppression ratio。

2.為VLAN指定廣播風(fēng)暴抑制比

同樣，可以使用下面的命令設(shè)置VLAN允許通過(guò)的廣播流量的大小。缺省情況下，系統(tǒng)所有VLAN不做廣播風(fēng)暴抑制，即max-ratio值為100%。

MAC地址控制技術(shù)

以太網(wǎng)交換機(jī)可以利用MAC地址學(xué)習(xí)功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡(luò)設(shè)備的MAC 地址。對(duì)于發(fā)往這些MAC地址的報(bào)文，以太網(wǎng)交換機(jī)可以直接使用硬件轉(zhuǎn)發(fā)。如果MAC地址表過(guò)于龐大，可能導(dǎo)致以太網(wǎng)交換機(jī)的轉(zhuǎn)發(fā)性能的下降。MAC攻擊利用工具產(chǎn)生欺騙的MAC地址，快速填滿交換機(jī)的MAC表，MAC表被填滿后，交換機(jī)會(huì)以廣播方式處理通過(guò)交換機(jī)的報(bào)文，流量以洪泛方式發(fā)送到所有接口，這時(shí)攻擊者可以利用各種嗅探工具獲取網(wǎng)絡(luò)信息。TRUNK接口上的流量也會(huì)發(fā)給所有接口和鄰接交換機(jī)，會(huì)造成交換機(jī)負(fù)載過(guò)大，網(wǎng)絡(luò)緩慢和丟包，甚至癱瘓?？梢酝ㄟ^(guò)設(shè)置端口上最大可以通過(guò)的MAC地址數(shù)量、MAC地址老化時(shí)間，來(lái)抑制MAC攻擊。

1.設(shè)置最多可學(xué)習(xí)到的MAC地址數(shù)

通過(guò)設(shè)置以太網(wǎng)端口最多學(xué)習(xí)到的MAC地址數(shù)，用戶可以控制以太網(wǎng)交換機(jī)維護(hù)的MAC地址表的表項(xiàng)數(shù)量。如果用戶設(shè)置的值為count，則該端口學(xué)習(xí)到的MAC地址條數(shù)達(dá)到count 時(shí)，該端口將不再對(duì)MAC地址進(jìn)行學(xué)習(xí)。缺省情況下，交換機(jī)對(duì)于端口最多可以學(xué)習(xí)到的MAC地址數(shù)目沒(méi)有限制。
在以太網(wǎng)端口視圖下進(jìn)行下列配置：mac-address max-mac-count count。

2.設(shè)置系統(tǒng)MAC地址老化時(shí)間

設(shè)置合適的老化時(shí)間可以有效實(shí)現(xiàn)MAC地址老化的功能。用戶設(shè)置的老化時(shí)間過(guò)長(zhǎng)或者過(guò)短，都可能導(dǎo)致以太網(wǎng)交換機(jī)廣播大量找不到目的MAC地址的數(shù)據(jù)報(bào)文，影響交換機(jī)的運(yùn)行性能。如果用戶設(shè)置的老化時(shí)間過(guò)長(zhǎng)，以太網(wǎng)交換機(jī)可能會(huì)保存許多過(guò)時(shí)的MAC地址表項(xiàng)，從而耗盡MAC地址表資源，導(dǎo)致以太網(wǎng)交換機(jī)無(wú)法根據(jù)網(wǎng)絡(luò)的變化更新MAC地址表。如果用戶設(shè)置的老化時(shí)間太短，以太網(wǎng)交換機(jī)可能會(huì)刪除有效的MAC地址表項(xiàng)。一般情況下，推薦使用老化時(shí)間age的缺省值300秒。在系統(tǒng)視圖下進(jìn)行下列配置: mac-address timer { aging age | no-aging }使用參數(shù)no-aging時(shí)表示不對(duì)MAC地址表項(xiàng)進(jìn)行老化。

3．設(shè)置MAC地址表的老化時(shí)間

這里的鎖定端口就是指設(shè)置了最大學(xué)習(xí)MAC地址數(shù)的以太網(wǎng)端口。在以太網(wǎng)端口上使用命令mac-address max-mac-count設(shè)置端口能夠?qū)W習(xí)的最大地址數(shù)以后，學(xué)習(xí)到的MAC地址表項(xiàng)將和相應(yīng)的端口綁定起來(lái)。如果某個(gè)MAC地址對(duì)應(yīng)的主機(jī)長(zhǎng)時(shí)間不上網(wǎng)或已移走，它仍然占用端口上的一個(gè)MAC地址表項(xiàng)，從而造成MAC地址在這5個(gè)MAC地址以外的主機(jī)將不能上網(wǎng)。此時(shí)可以通過(guò)設(shè)置鎖定端口對(duì)應(yīng)的MAC地址表的老化時(shí)間，使長(zhǎng)時(shí)間不上網(wǎng)的主機(jī)對(duì)應(yīng)的MAC地址表項(xiàng)老化，從而使其他主機(jī)可以上網(wǎng)。缺省情況下，鎖定端口對(duì)應(yīng)的MAC地址表的老化時(shí)間為1小時(shí)。