网管经验谈之若何设置交换机 防备被黑[网络技术]

宽带网接入交换机普通需求与用户终端直接衔接,一旦用户终端传染蠕虫病毒,病毒爆发就会严重损耗带宽和交换机资源,乃至造成网络瘫痪,这一现象在Slammer和打击波事件中早已层出不穷.宽带接入交换机毕竟面对哪些安全风险?怎样才能化解这些风险?接下来我们将一一揭露.

    交换机的风险

    操纵抓包工具,网管常常捕捉到大流量的非常报文,它们一方面损耗网络带宽,另一方面损耗网络设备的资源,影响网络的正常运行.

    单播类非常报文:单播流量大大都是发送给网关,网关设备按照路由表对这些报文做出转发或丢弃处理.对私有IP地址,公网三层交换机或路由器会自动丢弃单播流量.假如用户已经得到一个公网IP地址,这些单播流量就会被转发出去,进而影响更大范围的网络.以打击波病毒为例,中毒主机只要监测到网络可用,就会启动一个攻击传达线程,不断随机生成攻击地址举行攻击.在打击波爆发严重的阶段,网络速度明显变慢,一些接入层交换机和一些小型路由器乃至崩溃,核心三层交换机的CPU操纵率到达100%,运营商不得不采纳屏蔽ICMP报文的办法加以应对.

    广播类非常报文:广播是实现某些协议的必要方法.广播报文会发送给特定网段内的全部主机,每台主机城市对收到的报文举行处理,做出回应或丢弃的决意,后来果是既损耗网络带宽又影响主机性能.操纵端口断绝技术,用户可以限制广播报文只发往上行端口,这样可以减小对本网段链路和主机的影响,但无法办理对会聚层和核心层设备造成的影响.假如在会聚或核心设备上将多个小区划在一个VLAN内,广播类流量就会通过上层设备返回到其他小区,进而持续占用这些小区的链路带宽并影响主机性能,这种配置办法在当前宽带网络中遍及存在.

    组播类非常报文:组播类信息本来只服务于网络内的部份用户,其目的地址是网络内申请加入组播组的主机.一些主机并没有申请加入组播组,这些组播报文本不该该转发给这些主机,但是事实上这些主机还是收到了组播信息.是什么缘由招致组播报文转发给没有申请加入的主机呢?本来,为了实现组播,二层交换机利用GMRP组播注册协议或IGMP Snooping协议来保护一个动态组播表,然后把组播报文转发授与该组播构成员相关的端口,以实目前VLAN 内的二层组播,假如没有运行IGMP Snooping,组播报文将在二层广播,这就是招致组播泛滥的缘由.

    随着宽带网络的进一步遍及以及视频利用的渐渐增添,组播技术将会得到更遍及地利用,当时组播类非常流量不但会呈目前网络的第二层,并且还会路由到整个组播树.加上视频类信息流量较大,很难辨别正常流量和不正常流量.因而对组播举行掌握也就越发艰难了.

    总之,局域网内的利用存在被病毒操纵的大概性,假如不有效限制非常流量,就会对网络带宽以及网络设备造成资源损耗.因此,为面向用户的二层交换机增添智能,把问题断绝在最小的范围内,就显得尤为重要.

    化解风险的对策

    操纵交换机的流量掌握功效,我们可以把流经端口的非常流量限制在一定的范围内.不过,交换机的流量掌握功效只能对经过端口的各类流量举行简单的速率限制,将广播、组播的非常流量限制在一定的范围内,而无法辨别哪些是正常流量,哪些是非常流量.同时,若何设定一个符合的阈值也对比艰难.假如需求对报文做更进一步的掌握用户可以采取ACL(拜候掌握列表 ).ACL操纵IP地址、TCP/UDP端口等对收支交换机的报文举行过滤,按照预设条件,对报文做出答应转发或阻塞的决意.

    通过细分差别的网络流量,用户可以针对性地对非常流量辨别举行掌握.通过IP报文的协议字段掌握单播类非常流量,通过以太帧的协议字段掌握广播类非常报文,通过IP目的地址段掌握组播类报文.除了这些掌握手段之外,网络管理员还需求常常注意网络非常流量,及时定位非常流量的源主机,并且解除弊端.