交换机安全防范技术正式版

In the schedule of the activity, the time and the progress of the completion of the project content are described in detail to make the progress consistent with the plan.交换机安全防范技术正式

版

交换机安全防范技术正式版

下载提示：此解决方案资料适用于工作或活动的进度安排中，详细说明各阶段的时间和项目内容完成的进度，而完成上述需要实施方案的人员对整体有全方位的认识和评估能力，尽力让实施的时间进度与方案所计划的时间吻合。文档可以直接使用，也可根据实际需要修订后使用。

在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技

术，净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。

广播风暴控制技术

网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴，避免网络拥塞。

1.广播风暴抑制比

可以使用以下命令限制端口上允许通

过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数，百分比越小，表示允许通过的广播流量越小。当百分比为100时，表示不对该端口进行广播风暴抑制。缺省情况下，允许通过的广播流量为100%，即不对广播流量进行抑制。在以太网端口视图下进行下列配置：

broadcast-suppression ratio

2.为VLAN指定广播风暴抑制比

同样，可以使用下面的命令设置VLAN 允许通过的广播流量的大小。缺省情况下，系统所有VLAN不做广播风暴抑制，即

max-ratio值为100%。

MAC地址控制技术

以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大，可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式发送到所有接口，这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻

接交换机，会造成交换机负载过大，网络缓慢和丢包，甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间，来抑制MAC攻击。

1.设置最多可学习到的MAC地址数

通过设置以太网端口最多学习到的MAC 地址数，用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为count，则该端口学习到的MAC地址条数达到count 时，该端口将不再对MAC 地址进行学习。缺省情况下，交换机对于端口最多可以学习到的MAC地址数目没有限制。

在以太网端口视图下进行下列配置：

mac-address max-mac-count count

2.设置系统MAC地址老化时间

设置合适的老化时间可以有效实现MAC 地址老化的功能。用户设置的老化时间过长或者过短，都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文，影响交换机的运行性能。如果用户设置的老化时间过长，以太网交换机可能会保存许多过时的MAC地址表项，从而耗尽MAC 地址表资源，导致交换机无法根据网络的变化更新MAC地址表。如果用户设置的老化时间太短，以太网交换机可能会删除有效的MAC地址表项。一般情况下，推荐使用老化时间age的缺省值300秒。

在系统视图下进行下列配置: mac-address timer { aging age | no-

aging }

使用参数no-aging时表示不对MAC地址表项进行老化。

3．设置MAC地址表的老化时间

这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。在以太网端口上使用命令mac-address max-mac-count 设置端口能够学习的最大地址数以后，学习到的MAC地址表项将和相应的端口绑定起来。如果某个MAC地址对应的主机长时间不上网或已移走，它仍然占用端口上的一个MAC地址表项，从而造成MAC地址在这5个MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的MAC地

址表的老化时间，使长时间不上网的主机对应的MAC地址表项老化，从而使其他主机可以上网。缺省情况下，锁定端口对应的MAC地址表的老化时间为1小时。

在系统视图下进行下列配置：

lock-port mac-aging { age-time | no-age }

DHCP控制技术

DHCP Server可以自动为用户设置IP 地址、掩码、网关、DNS、WINS等网络参数，解决客户机位置变化（如便携机或无线网络）和客户机数量超过可分配的IP地址的情况，简化用户设置，提高管理效率。但在DHCP管理使用上，存在着DHCP Server冒充、DHCP Server的Dos攻击、