核心交换机存在的安全隐患.doc

核心交换机存在的安全隐患
　　下面说一下核心交换机存在的安全隐患，和一些需要注意的问题，作为核心交换机它可以支持500个信息点以上大型企业应用的交换机为企业级交换机。
　　在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换核心交换机存在的安全隐患
　　下面说一下核心交换机存在的安全隐患，和一些需要注意的问题，作为核心交换机它可以支持500个信息点以上大型企业应用的交换机为企业级交换机。
　　在网络实际环境中，随着计算机性能的不断提升，针对网络中的交换机、路由器或其它计算机等设备的攻击趋势越来越严重，影响越来越剧烈。交换机作为局域网信息交换的主要设备，特别是核心、汇聚交换机承载着极高的数据流量，在突发异常数据或攻击时，极易造成负载过重或宕机现象。
　　为了尽可能抑制攻击带来的影响，减轻交换机的负载，使局域网稳定运行，核心交换机厂商在交换机上应用了一些安全防范技术，网络管理人员应该根据不同的设备型号，有效地启用和配置这些技术，净化局域网环境。
　　本文以华为3COM公司的Quidway系列交换机为例，分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。
　　广播风暴控制技术
　　网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播，都可能引起广播风暴，交换机会把大量的广播帧转发到每个端口上，这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比，从而有效地抑制广播风暴，避免网络拥塞。

　　可以使用以下命令限制端口上允许通过的广播流量的大小，当广播流量超过用户设置的值后，系统将对广播流量作丢弃处理，使广播所占的流量比例降低到合理的范围，以端口最大广播流量的线速度百分比作为参数。
　　百分比越小，表示允许通过的广播流量越小。当百分比为100时，表示不对该端口进行广播风暴抑制。缺省情况下，允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置。

　　同样，可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下，系统所有VLAN不做广播风暴抑制，即max-ratio值为100%.
MAC地址控制技术
　　以太网交换机可以利用MAC地址学****功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文，以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大，可能导致以核心交换机的转发性能的下降。
MAC攻击利用工具产生欺骗的MAC地址，快速填满交换机的MAC表，MAC表被填满后，交换机会以广播方式处理通过交换机的报文，流量以洪泛方式发送到所有接口，这时攻击者可以利用各种嗅探工具获取网络信息。
TRUNK接口上的流量也会发给所有接口和邻接交换机，会造成交换机负载过大，网络缓慢和丢包，甚