IT貓撲網(wǎng):您身邊最放心的安全下載站! 最新更新|軟件分類|軟件專題|手機(jī)版|論壇轉(zhuǎn)貼|軟件發(fā)布

您當(dāng)前所在位置:首頁系統(tǒng)集成網(wǎng)絡(luò)管理 → 交換機(jī)轉(zhuǎn)發(fā)過濾技術(shù)提高網(wǎng)絡(luò)安全性能

交換機(jī)轉(zhuǎn)發(fā)過濾技術(shù)提高網(wǎng)絡(luò)安全性能

時間:2015/6/28來源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評論(0)

  當(dāng)數(shù)據(jù)幀到達(dá)交換機(jī)接口時,交換機(jī)就將數(shù)據(jù)幀的目的地址與轉(zhuǎn)發(fā)/過濾MAC數(shù)據(jù)庫中的地址進(jìn)行比較,如果目的硬件地址是已知的且已經(jīng)在交換機(jī)的MAC數(shù)據(jù)庫中,幀就只會被發(fā)送到正確的外出接口。交換機(jī)將不會把幀送往除了目的地接口之外的任何其他接口,這就保留了在其它網(wǎng)段上的帶寬。這種技術(shù)就是交換機(jī)的轉(zhuǎn)發(fā)過濾技術(shù)。

  這種技術(shù)對于提高網(wǎng)絡(luò)性能與網(wǎng)絡(luò)安全很有作用。筆者將通過兩個例子來談?wù)勥@種技術(shù)對于交換式網(wǎng)絡(luò)的重要意義。

  案例一:利用二層交換機(jī)來隔離沖突域

  如現(xiàn)在有一臺交換機(jī)連著四臺主機(jī),分別為A、B、C、D。假設(shè)現(xiàn)在主機(jī)A要發(fā)一個數(shù)據(jù)包給主機(jī)D。當(dāng)交換機(jī)收到主機(jī)A發(fā)過來的數(shù)據(jù)幀之后,該如何處理呢?

  1、 若交換機(jī)中沒有主機(jī)A或者主機(jī)D的MAC地址信息

  如果這個網(wǎng)絡(luò)是剛剛組建,又或則出于某種原因,網(wǎng)絡(luò)管理員把交換機(jī)重置后,則交換機(jī)的轉(zhuǎn)發(fā)/過濾表會被清除。此時,由于主機(jī)A的MAC地址不在轉(zhuǎn)發(fā)/過濾表中,所以,交換機(jī)會將主機(jī)A的MAC地址和端口添加到自己的MAC數(shù)據(jù)庫中,然后再把幀轉(zhuǎn)發(fā)到主機(jī)D中。但是,如果主機(jī)D的MAC地址不在交換機(jī)的MAC數(shù)據(jù)庫中,則交換機(jī)會將幀轉(zhuǎn)發(fā)到除了主機(jī)A連接的接口之外的其他所有接口中。也就是說,在交換機(jī)不知道目的主機(jī)MAC地址的時候,則交換機(jī)上的除了本臺設(shè)備之外的其他任何設(shè)備,如主機(jī)B、C、D都將收到主機(jī)A發(fā)出的數(shù)據(jù)包。很明顯,此時交換機(jī)的一些帶寬就會被浪費掉。在這種情形下,轉(zhuǎn)發(fā)過濾技術(shù)并不能夠帶來多大的益處。

  2、 若交換機(jī)知道目的主機(jī)的MAC地址

  假設(shè)交換機(jī)通過ARP等機(jī)制,在自己的MAC地址庫中已經(jīng)知道了所連接設(shè)備的MAC地址,如主機(jī)A、B、C、D的MAC地址。要了解這些信息不難。只要這個網(wǎng)絡(luò)存在一定時間,則通過地址學(xué)習(xí)功能,交換機(jī)可以記錄相關(guān)設(shè)備的MAC地址信息。

  在交換機(jī)已經(jīng)了解了其相鄰設(shè)備的MAC地址后,當(dāng)交換機(jī)接收到主機(jī)A發(fā)過來的數(shù)據(jù)幀之后,會如何處理呢?交換機(jī)首先會讀取數(shù)據(jù)幀中的目的MAC地址。然后在自己的MAC地址庫中進(jìn)行查找。發(fā)現(xiàn)有匹配的MAC地址后,就從MAC地址庫中查詢中對應(yīng)的交換機(jī)出口。然后再把數(shù)據(jù)幀從這個出口轉(zhuǎn)發(fā)出去。從這個轉(zhuǎn)發(fā)的過程中,我們可以看到數(shù)據(jù)幀是一進(jìn)一出。而不像集線器一樣,是一進(jìn)多出;或者像上面提到的不知道目的MAC地址那樣,也是一進(jìn)多出。在這種情形下,交換機(jī)直接把數(shù)據(jù)幀準(zhǔn)確無誤的轉(zhuǎn)發(fā)到對應(yīng)的接口上。很明顯,此時就不會對其他網(wǎng)段的帶寬帶來不利的影響。

  通過這種轉(zhuǎn)發(fā)過濾技術(shù),就可以在最大限度內(nèi)避免沖突域的產(chǎn)生,從而在很大程度上提高網(wǎng)絡(luò)性能。

  在利用二層交換機(jī)來隔離沖突域時,要注意一個問題。當(dāng)交換機(jī)不知道目的MAC地址的話,則交換機(jī)并不能夠起到隔離沖突域的作用。因為此時,交換機(jī)仍然會把數(shù)據(jù)幀轉(zhuǎn)發(fā)到所有的交換機(jī)接口中。故當(dāng)網(wǎng)絡(luò)管理員利用交換機(jī)組建比較大型的網(wǎng)絡(luò)時,不要頻繁的重復(fù)啟動交換機(jī)等網(wǎng)絡(luò)設(shè)備。因為重新啟動后,其MAC地址庫中的內(nèi)容可能會丟失。如此的話,交換機(jī)就又要重零開始學(xué)習(xí)MAC地址以及MAC地址與端口的對應(yīng)表。

  案例二:保護(hù)交換機(jī)端口的安全

  在交換機(jī)管理中,還有一個難點就是如何防止非授權(quán)用戶的主機(jī)介入到交換機(jī)的端口上? 也就是說,在一個角落中放置了一臺交換機(jī),其中可能還有一些空閑的端口。此時,如何來保障這些端口的安全性呢?是否所有人或者網(wǎng)絡(luò)設(shè)備都可以隨意的連接到這些空閑的端口呢?答案當(dāng)然是否定的。接下去,筆者就談?wù)勅绾蝸肀Wo(hù)交換機(jī)端口的安全。這跟交換機(jī)的轉(zhuǎn)發(fā)過濾決定也是息息相關(guān)的。

  在思科的二層交換機(jī)中,提供了一些端口安全的保護(hù)機(jī)制。我們進(jìn)入到某個交換機(jī)的接口之后,利用Switchport port-security命令,加上?通配符,就可以查看相關(guān)的端口安全選項。其實,要實現(xiàn)端口安全,也是基于轉(zhuǎn)發(fā)過濾技術(shù)實現(xiàn)的。其基本原理就是通過對交換機(jī)的MAC地址庫進(jìn)行管理,來實現(xiàn)交換機(jī)端口的安全性。

  若不設(shè)置交換機(jī)端口安全(這是思科交換機(jī)的默認(rèn)設(shè)置),交換機(jī)采用的是動態(tài)的MAC地址映射技術(shù)。即交換機(jī)可以自動學(xué)習(xí)連接到其接口的網(wǎng)絡(luò)設(shè)備的MAC地址,從而完成數(shù)據(jù)幀的轉(zhuǎn)發(fā)。而基于端口的安全策略的實現(xiàn),就是對這個自動MAC地址學(xué)習(xí)的能力進(jìn)行干預(yù)。如下面幾種方式,就是筆者常用的一些解決方法。

  一是把交換機(jī)某個接口允許的源MAC地址進(jìn)行設(shè)置。在思科交換機(jī)中,可以利用Switchport port-security MAC地址 MAC地址命令,把某個交換機(jī)接口允許接入的網(wǎng)絡(luò)設(shè)備的MAC地址手工的添加進(jìn)去。通過這個命令,可以將單個的MAC地址分配到交換機(jī)的每個端口中。若新接入的網(wǎng)絡(luò)設(shè)備,其MAC地址不在這個列表中,則就無法通過這個端口進(jìn)行通信。也就是說,只要采用了這個命令,交換機(jī)就會關(guān)閉地址學(xué)習(xí)功能。當(dāng)然,這種配置的話,當(dāng)連接在某個接口上的網(wǎng)絡(luò)設(shè)備比較多,工作量就會變得比較大。為此,除非有特殊的需要,否則的話,筆者基本不采用這種方式。

二是可以通過設(shè)置,讓交換機(jī)一個接口只允許接入一臺網(wǎng)絡(luò)設(shè)備。默認(rèn)情況下,交換機(jī)的一個端口可以接入無數(shù)的設(shè)備,在不考慮網(wǎng)絡(luò)性能與IP地址限制的前提下。但是,在一些特殊的應(yīng)用下,我們往往只允許交換機(jī)的某個端口只允許接入一臺網(wǎng)絡(luò)設(shè)備。如有時候,在部門級別的網(wǎng)絡(luò)應(yīng)用上,如網(wǎng)絡(luò)打印機(jī)等等。出于性能與安全的考慮,網(wǎng)絡(luò)管理員要確保這個服務(wù)器所在的接口只連接一臺網(wǎng)絡(luò)設(shè)備。因為若有多個設(shè)備連接到同一個接口中,則它們屬于同一個沖突域。一方面這會影響這個服務(wù)器的性能;另一方面,其他用戶也可以通過網(wǎng)絡(luò)偵聽技術(shù)竊取服務(wù)器的相關(guān)信息,從而降低服務(wù)器的安全性能。為此,網(wǎng)絡(luò)管理員就有必要確保交換機(jī)某個接口上只能夠連接有一臺網(wǎng)絡(luò)設(shè)備。這即可以利用上面的靜態(tài)配置MAC地址實現(xiàn);也可以通過如下的命令實現(xiàn)。

  Switchport port-security maximun 1

  Switchport port-security violation shutdown

  這兩條命令的意思就是某個交換機(jī)的接口最多只能夠連接一臺網(wǎng)絡(luò)設(shè)備。當(dāng)超過這個最大數(shù)量時,這個端口就會被關(guān)閉。如果發(fā)生了端口被關(guān)閉的狀況,即時用戶把新增加的網(wǎng)絡(luò)設(shè)備移除,這個端口仍然不會被自動啟用。網(wǎng)絡(luò)管理員要通過no shutdown來重新啟動端口。

  三是可以通過Sticky來實現(xiàn)交換機(jī)端口的安全性。這跟靜態(tài)配置MAC地址就有異曲同工之妙。只是其不用用戶手工的配置MAC地址。當(dāng)網(wǎng)絡(luò)管理員組建好網(wǎng)絡(luò)之后,交換機(jī)首先會自動學(xué)習(xí)相關(guān)的MAC地址。等到網(wǎng)絡(luò)運(yùn)行穩(wěn)定之后,網(wǎng)絡(luò)管理員在進(jìn)行特定的接口并利用Sticky參數(shù)。此時交換機(jī)對應(yīng)接口的MAC地址庫動態(tài)學(xué)習(xí)功能就會被關(guān)閉。若用戶增加其他網(wǎng)絡(luò)設(shè)備,這個接口將不會接受其新的MAC地址。通過這種方式,就可以省去手工配置MAC地址的麻煩。設(shè)置后,只要在交換機(jī)不間斷運(yùn)行的過程中,這個MAC地址限制將會一直有效,除非網(wǎng)絡(luò)管理員認(rèn)為的改變他。

  思科交換機(jī)就是通過這種方式來提高其端口的安全性。同時也可以通過這種方式,提高特定接口的工作效率。

  不過基于轉(zhuǎn)發(fā)過濾的二層交換機(jī),還有一個先天性的缺陷。如當(dāng)主機(jī)A因為某種原因,如病毒等等,發(fā)送廣播數(shù)據(jù)包的時候,那么非常不幸的,這個數(shù)據(jù)包將會在交換機(jī)的各個接口進(jìn)行轉(zhuǎn)發(fā),從而占用了一些不必要的帶寬支出?梢,交換機(jī)雖然可以有效隔離沖突域,但是對于廣播域則無能為力。

  隨著交換機(jī)設(shè)備越來越便宜,筆者越來越喜歡在企業(yè)網(wǎng)絡(luò)中采用交換機(jī)設(shè)備來提高網(wǎng)絡(luò)的性能與實現(xiàn)部分安全性。轉(zhuǎn)發(fā)過濾技術(shù)確實可以在很大程度上幫助網(wǎng)絡(luò)管理員實現(xiàn)網(wǎng)絡(luò)性能與安全方面的需求。若企業(yè)真在采用思科的交換機(jī)設(shè)備,那么就不要浪費,把其潛力盡量發(fā)揮出來吧。

關(guān)鍵詞標(biāo)簽:交換機(jī),網(wǎng)絡(luò)安全

相關(guān)閱讀

文章評論
發(fā)表評論

熱門文章 路由器地址大全-各品牌路由設(shè)置地址路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密Nslookup命令詳解-域名DNS診斷Nslookup命令詳解-域名DNS診斷站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件站長裝備:十大網(wǎng)站管理員服務(wù)器工具軟件

相關(guān)下載

人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說明(詳解route print)網(wǎng)管員實際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會!了解交換機(jī)控制端口流量