中文字幕在线一区二区在线,久久久精品免费观看国产,无码日日模日日碰夜夜爽,天堂av在线最新版在线,日韩美精品无码一本二本三本,麻豆精品三级国产国语,精品无码AⅤ片,国产区在线观看视频

      淺談核心交換機存在的安全隱患

      時間:2024-10-04 22:15:35 網(wǎng)絡(luò)技術(shù) 我要投稿
      • 相關(guān)推薦

      淺談核心交換機存在的安全隱患

        在網(wǎng)絡(luò)實際環(huán)境中,隨著計算機性能的不斷提升,針對網(wǎng)絡(luò)中的交換機、路由器或其它計算機等設(shè)備的攻擊趨勢越來越嚴(yán)重,影響越來越劇烈。下面是YJBYS小編整理的核心交換機存在的安全隱患的相關(guān)內(nèi)容,希望對你有幫助!

        為了盡可能抑制攻擊帶來的影響,減輕交換機的負(fù)載,使局域網(wǎng)穩(wěn)定運行,核心交換機廠商在交換機上應(yīng)用了一些安全防范技術(shù),網(wǎng)絡(luò)管理人員應(yīng)該根據(jù)不同的設(shè)備型號,有效地啟用和配置這些技術(shù),凈化局域網(wǎng)環(huán)境。

        本文以華為3COM公司的Quidway系列交換機為例,分兩期為您介紹常用的安全防范技術(shù)和配置方法。以下您將學(xué)到廣播風(fēng)暴控制技術(shù)、MAC地址控制技術(shù)、DHCP控制技術(shù)及ACL技術(shù)。

        廣播風(fēng)暴控制技術(shù)

        網(wǎng)卡或其它網(wǎng)絡(luò)接口損壞、環(huán)路、人為干擾破壞、黑客工具、病毒傳播,都可能引起廣播風(fēng)暴,交換機會把大量的廣播幀轉(zhuǎn)發(fā)到每個端口上,這會極大地消耗鏈路帶寬和硬件資源。可以通過設(shè)置以太網(wǎng)端口或VLAN的廣播風(fēng)暴抑制比,從而有效地抑制廣播風(fēng)暴,避免網(wǎng)絡(luò)擁塞。

        1.廣播風(fēng)暴抑制比

        可以使用以下命令限制端口上允許通過的廣播流量的大小,當(dāng)廣播流量超過用戶設(shè)置的值后,系統(tǒng)將對廣播流量作丟棄處理,使廣播所占的流量比例降低到合理的范圍,以端口最大廣播流量的線速度百分比作為參數(shù)。

        百分比越小,表示允許通過的廣播流量越小。當(dāng)百分比為100時,表示不對該端口進(jìn)行廣播風(fēng)暴抑制。缺省情況下,允許通過的廣播流量為100%,即不對廣播流量進(jìn)行抑制。在以太網(wǎng)端口視圖下進(jìn)行下列配置。

        2.為VLAN指定廣播風(fēng)暴抑制比

        同樣,可以使用下面的命令設(shè)置VLAN允許通過的廣播流量的大小。缺省情況下,系統(tǒng)所有VLAN不做廣播風(fēng)暴抑制,即max-ratio值為100%。

        MAC地址控制技術(shù)

        以太網(wǎng)交換機可以利用MAC地址學(xué)習(xí)功能獲取與某端口相連的網(wǎng)段上各網(wǎng)絡(luò)設(shè)備的MAC 地址。對于發(fā)往這些MAC地址的報文,以太網(wǎng)交換機可以直接使用硬件轉(zhuǎn)發(fā)。如果MAC地址表過于龐大,可能導(dǎo)致以核心交換機的轉(zhuǎn)發(fā)性能的下降。

        MAC攻擊利用工具產(chǎn)生欺騙的MAC地址,快速填滿交換機的MAC表,MAC表被填滿后,交換機會以廣播方式處理通過交換機的報文,流量以洪泛方式發(fā)送到所有接口,這時攻擊者可以利用各種嗅探工具獲取網(wǎng)絡(luò)信息。

        TRUNK接口上的流量也會發(fā)給所有接口和鄰接交換機,會造成交換機負(fù)載過大,網(wǎng)絡(luò)緩慢和丟包,甚至癱瘓。可以通過設(shè)置端口上最大可以通過的MAC地址數(shù)量、MAC地址老化時間,來抑制MAC攻擊。

        這里的鎖定端口就是指設(shè)置了最大學(xué)習(xí)MAC地址數(shù)的以太網(wǎng)端口。在以太網(wǎng)端口上使用命令mac-address max-mac-count設(shè)置端口能夠?qū)W習(xí)的最大地址數(shù)以后,學(xué)習(xí)到的MAC地址表項將和相應(yīng)的端口綁定起來。

        如果某個MAC地址對應(yīng)的主機長時間不上網(wǎng)或已移走,它仍然占用端口上的一個MAC地址表項,從而造成MAC地址在這5個MAC地址以外的主機將不能上網(wǎng)。此時可以通過設(shè)置鎖定端口對應(yīng)的MAC地址表的老化時間,使長時間不上網(wǎng)的主機對應(yīng)的MAC地址表項老化,從而使其他主機可以上網(wǎng)。缺省情況下,鎖定端口對應(yīng)的MAC地址表的老化時間為1小時。

        為了使配置了DHCP Relay的VLAN內(nèi)的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查,需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對應(yīng)關(guān)系的靜態(tài)地址表項。

        如果有另外一個非法用戶配置了一個靜態(tài)IP地址,該靜態(tài)IP地址與合法用戶的固定IP地址發(fā)生沖突,執(zhí)行DHCP Relay功能的核心交換機,可以識別出非法用戶,并拒絕非法用戶的IP與MAC地址的綁定請求。

      【淺談核心交換機存在的安全隱患】相關(guān)文章:

      詳解核心交換機的TRUNK功能02-26

      核心交換機故障的基本問題03-04

      淺談軟交換機技術(shù)的發(fā)展03-05

      H3C核心交換機配置03-09

      淺談速錄學(xué)習(xí)存在的問題03-04

      淺談關(guān)于企業(yè)核心競爭力問題的研究03-08

      關(guān)于淺談籃球核心力量訓(xùn)練的方法和手段02-22

      交換機故障03-04

      對稱交換機與不對稱交換機的區(qū)別03-04

      主站蜘蛛池模板: 国产精品丝袜美腿视频一区 | 性感人妻一区二区三区| 克拉玛依市| 亚洲啊啊啊一区二区三区| 精品国产一区二区三区香蕉| 宜阳县| 亚洲电影一区二区| 中日韩欧美成人免费播放| 精品91精品91精品国产片| 淄博市| 荃湾区| 超碰自拍成人在线观看| 中文字幕午夜AV福利片| 亚洲欧美成人在线免费| 国产精品国产自线拍免费| 精品免费一区二区三区在| 临武县| 刚察县| 国产成年无码久久久久下载| 久久精品国产精品亚洲艾| 国产美女高潮流白浆在线观看| 国产成人av在线影院无毒 | 亚洲老女人区一区二视频| 亚洲免费日韩一区二区| 成武县| 临颍县| 望江县| av无码特黄一级| 东台市| 灌云县| 国产尤物二区三区在线观看| 连平县| 阿荣旗| 久久久一本精品99久久| 国产精品色内内在线播放| 东辽县| 国产麻豆精品久久一二三| 黄色大片一区二区中文字幕| 亚洲最新中文字幕一区| 熟女丝袜美腿亚洲一区二区三区| 崇明县|