時(shí)間:2015/6/28來(lái)源:IT貓撲網(wǎng)作者:網(wǎng)管聯(lián)盟我要評(píng)論(0)
這種技術(shù)對(duì)于提高網(wǎng)絡(luò)性能與網(wǎng)絡(luò)安全很有作用。筆者將通過(guò)兩個(gè)例子來(lái)談?wù)勥@種技術(shù)對(duì)于交換式網(wǎng)絡(luò)的重要意義。
案例一:利用二層交換機(jī)來(lái)隔離沖突域
如現(xiàn)在有一臺(tái)交換機(jī)連著四臺(tái)主機(jī),分別為A、B、C、D。假設(shè)現(xiàn)在主機(jī)A要發(fā)一個(gè)數(shù)據(jù)包給主機(jī)D。當(dāng)交換機(jī)收到主機(jī)A發(fā)過(guò)來(lái)的數(shù)據(jù)幀之后,該如何處理呢?
1、 若交換機(jī)中沒(méi)有主機(jī)A或者主機(jī)D的MAC地址信息
如果這個(gè)網(wǎng)絡(luò)是剛剛組建,又或則出于某種原因,網(wǎng)絡(luò)管理員把交換機(jī)重置后,則交換機(jī)的轉(zhuǎn)發(fā)/過(guò)濾表會(huì)被清除。此時(shí),由于主機(jī)A的MAC地址不在轉(zhuǎn)發(fā)/過(guò)濾表中,所以,交換機(jī)會(huì)將主機(jī)A的MAC地址和端口添加到自己的MAC數(shù)據(jù)庫(kù)中,然后再把幀轉(zhuǎn)發(fā)到主機(jī)D中。但是,如果主機(jī)D的MAC地址不在交換機(jī)的MAC數(shù)據(jù)庫(kù)中,則交換機(jī)會(huì)將幀轉(zhuǎn)發(fā)到除了主機(jī)A連接的接口之外的其他所有接口中。也就是說(shuō),在交換機(jī)不知道目的主機(jī)MAC地址的時(shí)候,則交換機(jī)上的除了本臺(tái)設(shè)備之外的其他任何設(shè)備,如主機(jī)B、C、D都將收到主機(jī)A發(fā)出的數(shù)據(jù)包。很明顯,此時(shí)交換機(jī)的一些帶寬就會(huì)被浪費(fèi)掉。在這種情形下,轉(zhuǎn)發(fā)過(guò)濾技術(shù)并不能夠帶來(lái)多大的益處。
2、 若交換機(jī)知道目的主機(jī)的MAC地址
假設(shè)交換機(jī)通過(guò)ARP等機(jī)制,在自己的MAC地址庫(kù)中已經(jīng)知道了所連接設(shè)備的MAC地址,如主機(jī)A、B、C、D的MAC地址。要了解這些信息不難。只要這個(gè)網(wǎng)絡(luò)存在一定時(shí)間,則通過(guò)地址學(xué)習(xí)功能,交換機(jī)可以記錄相關(guān)設(shè)備的MAC地址信息。
在交換機(jī)已經(jīng)了解了其相鄰設(shè)備的MAC地址后,當(dāng)交換機(jī)接收到主機(jī)A發(fā)過(guò)來(lái)的數(shù)據(jù)幀之后,會(huì)如何處理呢?交換機(jī)首先會(huì)讀取數(shù)據(jù)幀中的目的MAC地址。然后在自己的MAC地址庫(kù)中進(jìn)行查找。發(fā)現(xiàn)有匹配的MAC地址后,就從MAC地址庫(kù)中查詢中對(duì)應(yīng)的交換機(jī)出口。然后再把數(shù)據(jù)幀從這個(gè)出口轉(zhuǎn)發(fā)出去。從這個(gè)轉(zhuǎn)發(fā)的過(guò)程中,我們可以看到數(shù)據(jù)幀是一進(jìn)一出。而不像集線器一樣,是一進(jìn)多出;或者像上面提到的不知道目的MAC地址那樣,也是一進(jìn)多出。在這種情形下,交換機(jī)直接把數(shù)據(jù)幀準(zhǔn)確無(wú)誤的轉(zhuǎn)發(fā)到對(duì)應(yīng)的接口上。很明顯,此時(shí)就不會(huì)對(duì)其他網(wǎng)段的帶寬帶來(lái)不利的影響。
通過(guò)這種轉(zhuǎn)發(fā)過(guò)濾技術(shù),就可以在最大限度內(nèi)避免沖突域的產(chǎn)生,從而在很大程度上提高網(wǎng)絡(luò)性能。
在利用二層交換機(jī)來(lái)隔離沖突域時(shí),要注意一個(gè)問(wèn)題。當(dāng)交換機(jī)不知道目的MAC地址的話,則交換機(jī)并不能夠起到隔離沖突域的作用。因?yàn)榇藭r(shí),交換機(jī)仍然會(huì)把數(shù)據(jù)幀轉(zhuǎn)發(fā)到所有的交換機(jī)接口中。故當(dāng)網(wǎng)絡(luò)管理員利用交換機(jī)組建比較大型的網(wǎng)絡(luò)時(shí),不要頻繁的重復(fù)啟動(dòng)交換機(jī)等網(wǎng)絡(luò)設(shè)備。因?yàn)橹匦聠?dòng)后,其MAC地址庫(kù)中的內(nèi)容可能會(huì)丟失。如此的話,交換機(jī)就又要重零開(kāi)始學(xué)習(xí)MAC地址以及MAC地址與端口的對(duì)應(yīng)表。
案例二:保護(hù)交換機(jī)端口的安全
在交換機(jī)管理中,還有一個(gè)難點(diǎn)就是如何防止非授權(quán)用戶的主機(jī)介入到交換機(jī)的端口上? 也就是說(shuō),在一個(gè)角落中放置了一臺(tái)交換機(jī),其中可能還有一些空閑的端口。此時(shí),如何來(lái)保障這些端口的安全性呢?是否所有人或者網(wǎng)絡(luò)設(shè)備都可以隨意的連接到這些空閑的端口呢?答案當(dāng)然是否定的。接下去,筆者就談?wù)勅绾蝸?lái)保護(hù)交換機(jī)端口的安全。這跟交換機(jī)的轉(zhuǎn)發(fā)過(guò)濾決定也是息息相關(guān)的。
在思科的二層交換機(jī)中,提供了一些端口安全的保護(hù)機(jī)制。我們進(jìn)入到某個(gè)交換機(jī)的接口之后,利用Switchport port-security命令,加上?通配符,就可以查看相關(guān)的端口安全選項(xiàng)。其實(shí),要實(shí)現(xiàn)端口安全,也是基于轉(zhuǎn)發(fā)過(guò)濾技術(shù)實(shí)現(xiàn)的。其基本原理就是通過(guò)對(duì)交換機(jī)的MAC地址庫(kù)進(jìn)行管理,來(lái)實(shí)現(xiàn)交換機(jī)端口的安全性。
若不設(shè)置交換機(jī)端口安全(這是思科交換機(jī)的默認(rèn)設(shè)置),交換機(jī)采用的是動(dòng)態(tài)的MAC地址映射技術(shù)。即交換機(jī)可以自動(dòng)學(xué)習(xí)連接到其接口的網(wǎng)絡(luò)設(shè)備的MAC地址,從而完成數(shù)據(jù)幀的轉(zhuǎn)發(fā)。而基于端口的安全策略的實(shí)現(xiàn),就是對(duì)這個(gè)自動(dòng)MAC地址學(xué)習(xí)的能力進(jìn)行干預(yù)。如下面幾種方式,就是筆者常用的一些解決方法。
一是把交換機(jī)某個(gè)接口允許的源MAC地址進(jìn)行設(shè)置。在思科交換機(jī)中,可以利用Switchport port-security MAC地址 MAC地址命令,把某個(gè)交換機(jī)接口允許接入的網(wǎng)絡(luò)設(shè)備的MAC地址手工的添加進(jìn)去。通過(guò)這個(gè)命令,可以將單個(gè)的MAC地址分配到交換機(jī)的每個(gè)端口中。若新接入的網(wǎng)絡(luò)設(shè)備,其MAC地址不在這個(gè)列表中,則就無(wú)法通過(guò)這個(gè)端口進(jìn)行通信。也就是說(shuō),只要采用了這個(gè)命令,交換機(jī)就會(huì)關(guān)閉地址學(xué)習(xí)功能。當(dāng)然,這種配置的話,當(dāng)連接在某個(gè)接口上的網(wǎng)絡(luò)設(shè)備比較多,工作量就會(huì)變得比較大。為此,除非有特殊的需要,否則的話,筆者基本不采用這種方式。
二是可以通過(guò)設(shè)置,讓交換機(jī)一個(gè)接口只允許接入一臺(tái)網(wǎng)絡(luò)設(shè)備。默認(rèn)情況下,交換機(jī)的一個(gè)端口可以接入無(wú)數(shù)的設(shè)備,在不考慮網(wǎng)絡(luò)性能與IP地址限制的前提下。但是,在一些特殊的應(yīng)用下,我們往往只允許交換機(jī)的某個(gè)端口只允許接入一臺(tái)網(wǎng)絡(luò)設(shè)備。如有時(shí)候,在部門(mén)級(jí)別的網(wǎng)絡(luò)應(yīng)用上,如網(wǎng)絡(luò)打印機(jī)等等。出于性能與安全的考慮,網(wǎng)絡(luò)管理員要確保這個(gè)服務(wù)器所在的接口只連接一臺(tái)網(wǎng)絡(luò)設(shè)備。因?yàn)槿粲卸鄠(gè)設(shè)備連接到同一個(gè)接口中,則它們屬于同一個(gè)沖突域。一方面這會(huì)影響這個(gè)服務(wù)器的性能;另一方面,其他用戶也可以通過(guò)網(wǎng)絡(luò)偵聽(tīng)技術(shù)竊取服務(wù)器的相關(guān)信息,從而降低服務(wù)器的安全性能。為此,網(wǎng)絡(luò)管理員就有必要確保交換機(jī)某個(gè)接口上只能夠連接有一臺(tái)網(wǎng)絡(luò)設(shè)備。這即可以利用上面的靜態(tài)配置MAC地址實(shí)現(xiàn);也可以通過(guò)如下的命令實(shí)現(xiàn)。
Switchport port-security maximun 1
Switchport port-security violation shutdown
這兩條命令的意思就是某個(gè)交換機(jī)的接口最多只能夠連接一臺(tái)網(wǎng)絡(luò)設(shè)備。當(dāng)超過(guò)這個(gè)最大數(shù)量時(shí),這個(gè)端口就會(huì)被關(guān)閉。如果發(fā)生了端口被關(guān)閉的狀況,即時(shí)用戶把新增加的網(wǎng)絡(luò)設(shè)備移除,這個(gè)端口仍然不會(huì)被自動(dòng)啟用。網(wǎng)絡(luò)管理員要通過(guò)no shutdown來(lái)重新啟動(dòng)端口。
三是可以通過(guò)Sticky來(lái)實(shí)現(xiàn)交換機(jī)端口的安全性。這跟靜態(tài)配置MAC地址就有異曲同工之妙。只是其不用用戶手工的配置MAC地址。當(dāng)網(wǎng)絡(luò)管理員組建好網(wǎng)絡(luò)之后,交換機(jī)首先會(huì)自動(dòng)學(xué)習(xí)相關(guān)的MAC地址。等到網(wǎng)絡(luò)運(yùn)行穩(wěn)定之后,網(wǎng)絡(luò)管理員在進(jìn)行特定的接口并利用Sticky參數(shù)。此時(shí)交換機(jī)對(duì)應(yīng)接口的MAC地址庫(kù)動(dòng)態(tài)學(xué)習(xí)功能就會(huì)被關(guān)閉。若用戶增加其他網(wǎng)絡(luò)設(shè)備,這個(gè)接口將不會(huì)接受其新的MAC地址。通過(guò)這種方式,就可以省去手工配置MAC地址的麻煩。設(shè)置后,只要在交換機(jī)不間斷運(yùn)行的過(guò)程中,這個(gè)MAC地址限制將會(huì)一直有效,除非網(wǎng)絡(luò)管理員認(rèn)為的改變他。
思科交換機(jī)就是通過(guò)這種方式來(lái)提高其端口的安全性。同時(shí)也可以通過(guò)這種方式,提高特定接口的工作效率。
不過(guò)基于轉(zhuǎn)發(fā)過(guò)濾的二層交換機(jī),還有一個(gè)先天性的缺陷。如當(dāng)主機(jī)A因?yàn)槟撤N原因,如病毒等等,發(fā)送廣播數(shù)據(jù)包的時(shí)候,那么非常不幸的,這個(gè)數(shù)據(jù)包將會(huì)在交換機(jī)的各個(gè)接口進(jìn)行轉(zhuǎn)發(fā),從而占用了一些不必要的帶寬支出?梢(jiàn),交換機(jī)雖然可以有效隔離沖突域,但是對(duì)于廣播域則無(wú)能為力。
隨著交換機(jī)設(shè)備越來(lái)越便宜,筆者越來(lái)越喜歡在企業(yè)網(wǎng)絡(luò)中采用交換機(jī)設(shè)備來(lái)提高網(wǎng)絡(luò)的性能與實(shí)現(xiàn)部分安全性。轉(zhuǎn)發(fā)過(guò)濾技術(shù)確實(shí)可以在很大程度上幫助網(wǎng)絡(luò)管理員實(shí)現(xiàn)網(wǎng)絡(luò)性能與安全方面的需求。若企業(yè)真在采用思科的交換機(jī)設(shè)備,那么就不要浪費(fèi),把其潛力盡量發(fā)揮出來(lái)吧。
關(guān)鍵詞標(biāo)簽:交換機(jī),網(wǎng)絡(luò)安全
相關(guān)閱讀
熱門(mén)文章 路由器地址大全-各品牌路由設(shè)置地址各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密Nslookup命令詳解-域名DNS診斷站長(zhǎng)裝備:十大網(wǎng)站管理員服務(wù)器工具軟件
人氣排行 各品牌的ADSL與路由器出廠默認(rèn)IP、帳號(hào)、密碼路由器地址大全-各品牌路由設(shè)置地址騰達(dá)路由器怎么設(shè)置?騰達(dá)路由器設(shè)置教程ADSL雙線負(fù)載均衡設(shè)置詳細(xì)圖文教程路由表說(shuō)明(詳解route print)網(wǎng)管員實(shí)際工作的一天用此方法讓2M帶寬下載速度達(dá)到250K/S左右網(wǎng)管必會(huì)!了解交換機(jī)控制端口流量