谈交换机安全防范技术应用

谈交换机安全防范技术应用

【摘要】社会在飞速的发展，电脑网络也在进步，并且普遍的被使用，但是在互联网当中存在了很多病毒，黑客攻击等，如今互联网的安全问题不得不引起重视，笔者对交换机的安全防范进行一些分析，加强交换机的安全防范，对互联网的安全是一个有效的防范技术。

【关键词】认证；广播风堡；mac地址；dhcp控制

中图分类号：tn916.43文献标识码： a 文章编号：

一、前言

笔者简略提出一些针对常用交换机的安全防范技术，可以把攻击带来的影响尽量的降低，把交换机的负载给减轻，使得局域网在运行的时候保持稳定的状态，把交换机本身支持的一些功能运用起来，这些技术，能够把网络故障发生的概率降到最低。

二、加强ieee802.1x的安全认证

802.lx的协议，把交换lan架构的物理特性良好的利用起来，在lan端口上的设备上实现了认证效果。交换机的端口设备发出认证请求,然后由交换设备透传报文到认证服务器，服务器通过验证，判定其认证的合法性，如果成功验证，报文就会被传送回来，此时的交换机要把端口打开，在此端口下连接的设备被准许使用局域网，如果没有通过认证，接入要求就不能被准许。在802.lx的协议当中，想要完成基于端口的访问控制的用户认证和授权，需要具备下面三个元素：

客户端:通常都是在用户工作站上安装,如果用户需要上网，把客户端程序进行激活,然后把用户名和口令输入，连接的请求就会通过客户端程序输送出来。

认证系统:太网系统当中的认证一般指交换机认证，把用户的认证信息上传和下达工作就是其主要的功能，通过认证结果把端口打开、关闭。

认证服务器:把客户端发送来的身份标识，也就是用户名和口令，进行验证，对用户使用网络系统提供的网络服务的权利进行判定，通过验证结果向交换机发出打开、关闭端口的命令。

三、控制广播风暴的一些技术

一些受到损坏的网络设备接口和网卡；出现了一些黑客工具；一些受到病毒感染的计算机等等,这些都是广播风暴产生的因素，通过交换机转发大量的广播帧，到每个端口，广播风暴的产生，在一定程度上消耗了链路带宽和硬件资源。笔者觉得可以通过对以太网端口、vlan的广播风暴抑制比进行设置，这样就能够对从广播风暴产生有效的抑制作用，把网络拥堵现象给避开。

对广播风暴抑制比进行控制。在端口上设置限制命令，控制通过的广播流量，当设置超过用户，广播流量的值后, 对广播流量系统将处理为丢弃,降低到合理的范围，广播所占的比例流量适中时, 作为参数的最大端口流量广播百分比的线速度, 越小的百分比,表示越小的允许通过的流量广播。

四、控制技术的mac地址

过于庞大的地址拟c表, 下降交换机以太网的性能转发会导致。欺骗产生的mac地址，成为mac利用攻击的工具, 交换机的以c表需要快速填满, 填满以c表后, 通过交换机处理报文，以广播的方式处理,流量以洪泛方式发送到所有接口,这时利用各种噢探工具

攻击者可以得到网络信息。设置端口可以通过上mac数量地址、以c老化地址时间,来抑制mac攻击。

1、可学习到的mac地址数设置最多

最多学习到的做c地址数，以太网端口设置, 控制以太网交换机，用户可以维护以c地址表的数量表项。如果设置的用户值为count,则该端口学习到的mac地址条数达到count时, 将不再对该端口进行mac地址学习。缺省情况下, 没有限制对于交换机端口可以最多学习到的拟c数目地址。

2、系统mac地址老化时间设置

有效实现做c地址老化的功能，合适的老化时间设置。过短或者过长设置用户的时间老化,都可能导致目的拟c地址的报文数据找不到，以太网交换机广播对交换机的运行性能产生重要的影响，要是用户在设置老化时间的时候设定很长的话，在以太网交换机当中就会出现了很多老旧的拟c地址表项,因此把c地址表的资源给消耗光，那么交换机就不能依据更新的网络来对琳c地址表进行更新，反之，设置很短老化时间的话，以太网交换机就会把有效的mac地址表项给删除，笔者建议把老化时间age的缺省值设置为300秒。

3、设置mac地址表的老化时间

使用相关命令mac→addressmax→mac→count，在以太网端口上进行设置，把mac地址表项和相应的端口进行绑定。如果长时间某个mac地址对应的主机没有连接网络或者已经不在，但是端口上的mac地址表项仍然在占用，这样的话就把锁定端口对应的mac地址表的老化时间进行设置,将其老化，其他主机就可以连上网络了。

五、应用防火墙技术控制访问权限

在网络安全当中防火墙技术在网络安全技术的发展过程中显得相当重要，能够提供内外网络通讯的保障。防火墙过滤源地址，把外部非法ip地址进行隔绝，把外部网络上和业务无关的主机的越权访问有效的避开，在防火墙可以把有用的服务保留，关闭不需要的服务选项，把系统受到攻击概率有效降低到最小，避免了黑客的进攻，对防火墙设定相应的访问策略，在访问内部网络的有限ip 地址的时候授权的外部主机可以访问，把无关的操作拒绝掉。全面监视外部网络对内部网络的访问活动，而且提供详细的历史记录，是防火墙的另一个功能。防火墙还能够把地址进行转换，保证了地址的私密性，黑客在攻击的时候就不能掌握目标。

六、利用防病毒技术，阻止病毒的传播与发作

今年来出现了很多病毒，比如红色代码病毒、尼姆达病毒和求职病毒等，2003年、2004年“冲击波”病毒、“震荡波”病毒更是给计算机用户留下了深刻的印象。使用多层的病毒防卫体系，可以把损失降到最低，可以在每台pc机上安装单机版反病毒软件，在服务器上安装基于服务器的反病毒软件。在网关上安装基于网关的

反病毒软件。因为防止病毒的攻击是每个员工的责任，人人都要做到自己使用的台式机上不受病毒的感染，从而保证整个网络不受病毒的感染。

五、dhcp控制技术

dhcp server可以自动为用户设置ip地址、掩码、网关、dns、wins等网络参数，解决客户机位置变化（如便携机或无线网络）和客户机数量超过可分配的ip地址的情况，简化用户设置，提高管理效率。但在dhcp管理使用上，存在着dhcp server冒充、dhcp server的dos攻击、用户随意指定ip地址造成网络地址冲突等问题。三层交换机的dhcp relay技术。早期的dhcp协议只适用于dhcp client和server处于同一个子网内的情况，不可以跨网段工作。因此，为实现动态主机配置，需要为每一个子网设置一个dhcp server，这显然是不经济的。dhcp relay的引入解决了这一难题：局域网内的dhcp client可以通过dhcp relay与其他子网的dhcp server通信，最终取得合法的ip地址。这样，多个网络上的dhcp client可以使用同一个dhcp server，既节省了成本，又便于进行集中管理。

六、结束语

针对交换机安全技术有很多种，笔者提出的只是一些常见的安全防范技术,网络交换技术在不停的发展和更新，将来会有更先进的交换机安全技术来替代现有的技术，所以网络的服务必将走向稳定和安全。