一本无码在线中文字幕DVD,久久AⅤ无码精品色午麻豆,亚洲AV第一页国产精品

您當(dāng)前所在位置：首頁 → 系統(tǒng)集成 → 網(wǎng)絡(luò)管理 → 交換機(jī)轉(zhuǎn)發(fā)過濾技術(shù)提高網(wǎng)絡(luò)安全性能

交換機(jī)轉(zhuǎn)發(fā)過濾技術(shù)提高網(wǎng)絡(luò)安全性能 時(shí)間：2015-06-28 00:00:00 來源：IT貓撲網(wǎng) 作者：網(wǎng)管聯(lián)盟 我要評(píng)論(0): 　　當(dāng)數(shù)據(jù)幀到達(dá)交換機(jī)接口時(shí)，交換機(jī)就將數(shù)據(jù)幀的目的地址與轉(zhuǎn)發(fā)/過濾MAC數(shù)據(jù)庫中的地址進(jìn)行比較，如果目的硬件地址是已知的且已經(jīng)在交換機(jī)的MAC數(shù)據(jù)庫中，幀就只會(huì)被發(fā)送到正確的外出接口。交換機(jī)將不會(huì)把幀送往除了目的地接口之外的任何其他接口，這就保留了在其它網(wǎng)段上的帶寬。這種技術(shù)就是交換機(jī)的轉(zhuǎn)發(fā)過濾技術(shù)。
　　這種技術(shù)對(duì)于提高網(wǎng)絡(luò)性能與網(wǎng)絡(luò)安全很有作用。筆者將通過兩個(gè)例子來談?wù)勥@種技術(shù)對(duì)于交換式網(wǎng)絡(luò)的重要意義。
　　案例一：利用二層交換機(jī)來隔離沖突域
　　如現(xiàn)在有一臺(tái)交換機(jī)連著四臺(tái)主機(jī)，分別為A、B、C、D。假設(shè)現(xiàn)在主機(jī)A要發(fā)一個(gè)數(shù)據(jù)包給主機(jī)D。當(dāng)交換機(jī)收到主機(jī)A發(fā)過來的數(shù)據(jù)幀之后，該如何處理呢?
　　1、若交換機(jī)中沒有主機(jī)A或者主機(jī)D的MAC地址信息
　　如果這個(gè)網(wǎng)絡(luò)是剛剛組建，又或則出于某種原因，網(wǎng)絡(luò)管理員把交換機(jī)重置后，則交換機(jī)的轉(zhuǎn)發(fā)/過濾表會(huì)被清除。此時(shí)，由于主機(jī)A的MAC地址不在轉(zhuǎn)發(fā)/過濾表中，所以，交換機(jī)會(huì)將主機(jī)A的MAC地址和端口添加到自己的MAC數(shù)據(jù)庫中，然后再把幀轉(zhuǎn)發(fā)到主機(jī)D中。但是，如果主機(jī)D的MAC地址不在交換機(jī)的MAC數(shù)據(jù)庫中，則交換機(jī)會(huì)將幀轉(zhuǎn)發(fā)到除了主機(jī)A連接的接口之外的其他所有接口中。也就是說，在交換機(jī)不知道目的主機(jī)MAC地址的時(shí)候，則交換機(jī)上的除了本臺(tái)設(shè)備之外的其他任何設(shè)備，如主機(jī)B、C、D都將收到主機(jī)A發(fā)出的數(shù)據(jù)包。很明顯，此時(shí)交換機(jī)的一些帶寬就會(huì)被浪費(fèi)掉。在這種情形下，轉(zhuǎn)發(fā)過濾技術(shù)并不能夠帶來多大的益處。
　　2、若交換機(jī)知道目的主機(jī)的MAC地址
　　假設(shè)交換機(jī)通過ARP等機(jī)制，在自己的MAC地址庫中已經(jīng)知道了所連接設(shè)備的MAC地址，如主機(jī)A、B、C、D的MAC地址。要了解這些信息不難。只要這個(gè)網(wǎng)絡(luò)存在一定時(shí)間，則通過地址學(xué)習(xí)功能，交換機(jī)可以記錄相關(guān)設(shè)備的MAC地址信息。
　　在交換機(jī)已經(jīng)了解了其相鄰設(shè)備的MAC地址后，當(dāng)交換機(jī)接收到主機(jī)A發(fā)過來的數(shù)據(jù)幀之后，會(huì)如何處理呢?交換機(jī)首先會(huì)讀取數(shù)據(jù)幀中的目的MAC地址。然后在自己的MAC地址庫中進(jìn)行查找。發(fā)現(xiàn)有匹配的MAC地址后，就從MAC地址庫中查詢中對(duì)應(yīng)的交換機(jī)出口。然后再把數(shù)據(jù)幀從這個(gè)出口轉(zhuǎn)發(fā)出去。從這個(gè)轉(zhuǎn)發(fā)的過程中，我們可以看到數(shù)據(jù)幀是一進(jìn)一出。而不像集線器一樣，是一進(jìn)多出;或者像上面提到的不知道目的MAC地址那樣，也是一進(jìn)多出。在這種情形下，交換機(jī)直接把數(shù)據(jù)幀準(zhǔn)確無誤的轉(zhuǎn)發(fā)到對(duì)應(yīng)的接口上。很明顯，此時(shí)就不會(huì)對(duì)其他網(wǎng)段的帶寬帶來不利的影響。
　　通過這種轉(zhuǎn)發(fā)過濾技術(shù)，就可以在最大限度內(nèi)避免沖突域的產(chǎn)生，從而在很大程度上提高網(wǎng)絡(luò)性能。
　　在利用二層交換機(jī)來隔離沖突域時(shí)，要注意一個(gè)問題。當(dāng)交換機(jī)不知道目的MAC地址的話，則交換機(jī)并不能夠起到隔離沖突域的作用。因?yàn)榇藭r(shí)，交換機(jī)仍然會(huì)把數(shù)據(jù)幀轉(zhuǎn)發(fā)到所有的交換機(jī)接口中。故當(dāng)網(wǎng)絡(luò)管理員利用交換機(jī)組建比較大型的網(wǎng)絡(luò)時(shí)，不要頻繁的重復(fù)啟動(dòng)交換機(jī)等網(wǎng)絡(luò)設(shè)備。因?yàn)橹匦聠?dòng)后，其MAC地址庫中的內(nèi)容可能會(huì)丟失。如此的話，交換機(jī)就又要重零開始學(xué)習(xí)MAC地址以及MAC地址與端口的對(duì)應(yīng)表。

　　案例二：保護(hù)交換機(jī)端口的安全
　　在交換機(jī)管理中，還有一個(gè)難點(diǎn)就是如何防止非授權(quán)用戶的主機(jī)介入到交換機(jī)的端口上? 也就是說，在一個(gè)角落中放置了一臺(tái)交換機(jī)，其中可能還有一些空閑的端口。此時(shí)，如何來保障這些端口的安全性呢?是否所有人或者網(wǎng)絡(luò)設(shè)備都可以隨意的連接到這些空閑的端口呢?答案當(dāng)然是否定的。接下去，筆者就談?wù)勅绾蝸肀Ｗo(hù)交換機(jī)端口的安全。這跟交換機(jī)的轉(zhuǎn)發(fā)過濾決定也是息息相關(guān)的。
　　在思科的二層交換機(jī)中，提供了一些端口安全的保護(hù)機(jī)制。我們進(jìn)入到某個(gè)交換機(jī)的接口之后，利用Switchport port-security命令，加上?通配符，就可以查看相關(guān)的端口安全選項(xiàng)。其實(shí)，要實(shí)現(xiàn)端口安全，也是基于轉(zhuǎn)發(fā)過濾技術(shù)實(shí)現(xiàn)的。其基本原理就是通過對(duì)交換機(jī)的MAC地址庫進(jìn)行管理，來實(shí)現(xiàn)交換機(jī)端口的安全性。
　　若不設(shè)置交換機(jī)端口安全(這是思科交換機(jī)的默認(rèn)設(shè)置)，交換機(jī)采用的是動(dòng)態(tài)的MAC地址映射技術(shù)。即交換機(jī)可以自動(dòng)學(xué)習(xí)連接到其接口的網(wǎng)絡(luò)設(shè)備的MAC地址，從而完成數(shù)據(jù)幀的轉(zhuǎn)發(fā)。而基于端口的安全策略的實(shí)現(xiàn)，就是對(duì)這個(gè)自動(dòng)MAC地址學(xué)習(xí)的能力進(jìn)行干預(yù)。如下面幾種方式，就是筆者常用的一些解決方法。
　　一是把交換機(jī)某個(gè)接口允許的源MAC地址進(jìn)行設(shè)置。在思科交換機(jī)中，可以利用Switchport port-security MAC地址 MAC地址命令，把某個(gè)交換機(jī)接口允許接入的網(wǎng)絡(luò)設(shè)備的MAC地址手工的添加進(jìn)去。通過這個(gè)命令，可以將單個(gè)的MAC地址分配到交換機(jī)的每個(gè)端口中。若新接入的網(wǎng)絡(luò)設(shè)備，其MAC地址不在這個(gè)列表中，則就無法通過這個(gè)端口進(jìn)行通信。也就是說，只要采用了這個(gè)命令，交換機(jī)就會(huì)關(guān)閉地址學(xué)習(xí)功能。當(dāng)然，這種配置的話，當(dāng)連接在某個(gè)接口上的網(wǎng)絡(luò)設(shè)備比較多，工作量就會(huì)變得比較大。為此，除非有特殊的需要，否則的話，筆者基本不采用這種方式。

二是可以通過設(shè)置，讓交換機(jī)一個(gè)接口只允許接入一臺(tái)網(wǎng)絡(luò)設(shè)備。默認(rèn)情況下，交換機(jī)的一個(gè)端口可以接入無數(shù)的設(shè)備，在不考慮網(wǎng)絡(luò)性能與IP地址限制的前提下。但是，在一些特殊的應(yīng)用下，我們往往只允許交換機(jī)的某個(gè)端口只允許接入一臺(tái)網(wǎng)絡(luò)設(shè)備。如有時(shí)候，在部門級(jí)別的網(wǎng)絡(luò)應(yīng)用上，如網(wǎng)絡(luò)打印機(jī)等等。出于性能與安全的考慮，網(wǎng)絡(luò)管理員要確保這個(gè)服務(wù)器所在的接口只連接一臺(tái)網(wǎng)絡(luò)設(shè)備。因?yàn)槿粲卸鄠€(gè)設(shè)備連接到同一個(gè)接口中，則它們屬于同一個(gè)沖突域。一方面這會(huì)影響這個(gè)服務(wù)器的性能;另一方面，其他用戶也可以通過網(wǎng)絡(luò)偵聽技術(shù)竊取服務(wù)器的相關(guān)信息，從而降低服務(wù)器的安全性能。為此，網(wǎng)絡(luò)管理員就有必要確保交換機(jī)某個(gè)接口上只能夠連接有一臺(tái)網(wǎng)絡(luò)設(shè)備。這即可以利用上面的靜態(tài)配置MAC地址實(shí)現(xiàn);也可以通過如下的命令實(shí)現(xiàn)。
　　Switchport port-security maximun 1
　　Switchport port-security violation shutdown
　　這兩條命令的意思就是某個(gè)交換機(jī)的接口最多只能夠連接一臺(tái)網(wǎng)絡(luò)設(shè)備。當(dāng)超過這個(gè)最大數(shù)量時(shí)，這個(gè)端口就會(huì)被關(guān)閉。如果發(fā)生了端口被關(guān)閉的狀況，即時(shí)用戶把新增加的網(wǎng)絡(luò)設(shè)備移除，這個(gè)端口仍然不會(huì)被自動(dòng)啟用。網(wǎng)絡(luò)管理員要通過no shutdown來重新啟動(dòng)端口。
　　三是可以通過Sticky來實(shí)現(xiàn)交換機(jī)端口的安全性。這跟靜態(tài)配置MAC地址就有異曲同工之妙。只是其不用用戶手工的配置MAC地址。當(dāng)網(wǎng)絡(luò)管理員組建好網(wǎng)絡(luò)之后，交換機(jī)首先會(huì)自動(dòng)學(xué)習(xí)相關(guān)的MAC地址。等到網(wǎng)絡(luò)運(yùn)行穩(wěn)定之后，網(wǎng)絡(luò)管理員在進(jìn)行特定的接口并利用Sticky參數(shù)。此時(shí)交換機(jī)對(duì)應(yīng)接口的MAC地址庫動(dòng)態(tài)學(xué)習(xí)功能就會(huì)被關(guān)閉。若用戶增加其他網(wǎng)絡(luò)設(shè)備，這個(gè)接口將不會(huì)接受其新的MAC地址。通過這種方式，就可以省去手工配置MAC地址的麻煩。設(shè)置后，只要在交換機(jī)不間斷運(yùn)行的過程中，這個(gè)MAC地址限制將會(huì)一直有效，除非網(wǎng)絡(luò)管理員認(rèn)為的改變他。
　　思科交換機(jī)就是通過這種方式來提高其端口的安全性。同時(shí)也可以通過這種方式，提高特定接口的工作效率。
　　不過基于轉(zhuǎn)發(fā)過濾的二層交換機(jī)，還有一個(gè)先天性的缺陷。如當(dāng)主機(jī)A因?yàn)槟撤N原因，如病毒等等，發(fā)送廣播數(shù)據(jù)包的時(shí)候，那么非常不幸的，這個(gè)數(shù)據(jù)包將會(huì)在交換機(jī)的各個(gè)接口進(jìn)行轉(zhuǎn)發(fā)，從而占用了一些不必要的帶寬支出?？梢?，交換機(jī)雖然可以有效隔離沖突域，但是對(duì)于廣播域則無能為力。
　　隨著交換機(jī)設(shè)備越來越便宜，筆者越來越喜歡在企業(yè)網(wǎng)絡(luò)中采用交換機(jī)設(shè)備來提高網(wǎng)絡(luò)的性能與實(shí)現(xiàn)部分安全性。轉(zhuǎn)發(fā)過濾技術(shù)確實(shí)可以在很大程度上幫助網(wǎng)絡(luò)管理員實(shí)現(xiàn)網(wǎng)絡(luò)性能與安全方面的需求。若企業(yè)真在采用思科的交換機(jī)設(shè)備，那么就不要浪費(fèi)，把其潛力盡量發(fā)揮出來吧。
關(guān)鍵詞標(biāo)簽：交換機(jī),網(wǎng)絡(luò)安全

相關(guān)閱讀

文章評(píng)論

查看所有0條評(píng)論>>