企业核心交换机的隐患
让我们谈谈核心交换机的隐患和需要注意的问题。作为核心交换机,它可以支持大于信息点的500个交换机,而大型企业的交换机则是企业级交换机。在网络环境下,随着计算机性能的不断提高,攻击交换机,路由器在网络或是其他电脑越来越严重。主要设备开关作为信息交换的一个局域网,尤其是核心,承载高数据流的汇聚交换机,在突发异常数据或攻击,极易造成重负荷或停机现象。
为了减少由攻击、负载开关、局域网和稳定运行所引起的抑制效果,核心交换机厂商在交换机上使用一些安全技术,网络管理人员应根据不同类型的设备,有效地启用和配置净化技术、局域网环境。
本文以华为3Com Quidway系列交换机为例,介绍了常见的安全技术和配置方法,你在两阶段。下面你将学习广播风暴控制技术、MAC地址控制技术、DHCP控制技术,控制技术。
广播风暴控制技术
网卡或其他网络接口损坏、环路、人为干扰破坏、黑客工具和病毒传输可能引发广播风暴。交换机将大量广播帧传输到每个端口,极大地消耗了链路带宽和硬件资源,通过设置以太网端口或VLAN的广播风暴抑制率,可以有效地抑制广播风暴,避免网络拥塞。
1。无线电风暴抑制率
你可以使用下面的命令来限制广播流量端口允许的大小,当无线流量超过用户设定的值时,系统将丢弃广播流量,将流量比降至合理的范围,最大速率的百分比以广播流量端口作为参数。
较小的百分比,较小的广播流量允许通过。当百分比是100,这表明抑制广播风暴不是港口。在默认的情况下,允许通过的广播流量是100%,即广播流量不抑制。下面的配置是以太网端口视图下进行。
2。VLAN的指定广播抑制率
此外,还可以使用以下命令设置VLAN允许通过的广播流量的大小。在默认情况下,系统的所有VLAN不执行广播风暴抑制,即最大比例值为100%。
地址控制技术
以太网交换机可以使用MAC地址学习功能来获取连接到特定端口的网络设备的MAC地址,邮件发送到这些MAC地址,以太网交换机可以直接转发的硬件。如果MAC地址表太大,可能会导致在核心交换机的转发性能下降。
mac攻击使用工具欺骗mac地址,填充快速切换mac表,MAC表被填满,交换机将切换到广播消息流,将洪水发送到所有接口,然后攻击者可以利用各种网络嗅探器工具获取信息。
在中继接口流量也将被发送到所有的接口和相邻的开关,使开关过载,慢的网络和数据包丢失,甚至paralysis.mac攻击可以通过设置MAC地址的最大数量的端口和MAC地址老化时间的抑制。
这里的锁端口是指设置最大MAC地址数的以太网端口,在使用命令MAC地址MAX MAC计数来设置端口可以在以太网端口上学习的最大地址之后,所学的MAC地址列表项将绑定到相应的端口。
如果一个MAC地址的主机不在线或删除了很长时间,它仍然占据一个MAC地址表项的端口,导致外5 MAC地址的MAC地址将无法访问互联网,此时,对应的锁定端口的MAC地址表老化时间可以设定,使MAC地址表项对应长时间非互联网主机会变老,所以其他的主机可以访问互联网。默认情况下,对应锁端口的MAC地址表的老化时间为1小时。
为了在DHCP中继VLAN中配置合法的IP地址,用户可以检查DHCP安全特性的地址合法性。我们需要使用这个命令添加一个静态地址表对应于IP地址和MAC地址为固定IP地址的用户。
如果有另一个非法用户配置静态IP地址冲突,静态IP地址和合法用户的固定IP地址,核心交换机执行DHCP中继功能,可以识别非法用户,并拒绝IP和MAC地址非法用户绑定请求。