交换机工作原理及安全 三层交换机工作原理

交换机工作原理

交换机是二层设备,可以隔离冲突域。交换机是基于收到数据帧中的源MAC地址和目的MAC地址来工作的。交换机的作用有两个:一是维护CAM(内容可寻址寄存器Context AddressableMemory)表,该表是MAC地址和交换机端口的映射表;二是:根据CAM表来进行数据帧的转发。

交换机的5种基本操作

1.学习/获取:交换机会学习收到的数据帧的源MAC地址;

1>当交换机从某个端口收到数据帧时,会读取帧的源MAC地址并在MAC表中填入该MAC地址及其对应的端口。

2.过期:通过学习过程学习到的MAC条目具有时间戮,此时间戮用于从MAC表中删除旧条目。

1>当某个条目在MAC表中创建之后,就会使用其时间戮作为起始值开始递减计数。计数值到0后,条目被删除;

2>如果在条目被删除之前,交换机从相同端口收到同一源MAC的帧时,将会刷新表中的该条目;

3>在时间戮计数值到0后,仍未从该端口收到该源MAC的帧时,条目将被删除。

3.泛洪:交换机将帧发送到除接收端口以外的其它所有端口的过程称为泛洪。

1>当收到目的MAC地址不在MAC表中的数据帧时,交换机不知道该往哪一个端口发送该帧,此时会泛洪;

2>当收到目的MAC地址为广播地址的帧时,会泛洪;

3>当收到目的MAC地址为组播(多播)地址的帧时,会泛洪。

4.选择性转发:检查帧的MAC地址后,将帧从适当的端口转发出去的过程称为选择性转发。

1>交换机收到数据帧后,如果该帧的MAC地址在MAC表中,则将帧转发到相应端口,而不是泛洪到所有端口。

5.过滤:在某些情况下,帧不会被转发。

1>交换机不会将帧转发到接收帧的端口;

2>交换机会丢弃损坏的帧而不转发,如没有通过CRC校验的帧等;

3>由于某些安全设置帧不会被交换机转发,如基于MAC地址的ACL、VLAN等。

以太网交换机转发数据帧方式

见:交换篇--《交换机交换模式》

对称交换和非对称交换

根据交换机端口的带宽,交换机可分为对称交换和非对称交换两类。

对称交换:交换机所有端口的带宽都相同。对称交换可优化为合理分配流量负载,例如在点对点桌面环境中。

非对称交换:交换机端口的带宽不相同,非对称交换使更多带宽能专用于服务器交换机端口,以防止产生瓶

颈,实现了更为平滑的流量传输,使多台客户端可同时与服务器通信。对称交换机上需要内存缓冲,为了使交

换机匹配不同端口上的不同数据速率,完整帧将保留在内存缓冲区中,并根据需要逐个移至端口。

交换机上的安全

交换机的安全是一个很重要的问题,在交换机上配置密码是最基本的配置。除此之外还要防止一些恶意的攻击。

常见的攻击方法及缓解措施:

LAN风暴

局域网风暴一般发生于恶意分组在LAN网段泛洪时,会产生不必要的多余流量,从而导致网络性能退化。某些因素会导致一场网络风暴,如包括协议栈实施中的错误或设备配置中所产生的漏洞。风暴控制特性可以防止常规网络流量在任何物理层接口上遭受广播、组播或单播分组风暴的侵犯。

风暴控制/流量抑制特性:

流量风暴控制以1秒钟的间隔监控入站分组,并使用下列方法之一,将其与已配置的风暴控制等级比较来控制:

①分层给广播、组播或单播流量的端口全部可用带宽百分比。

②接口每秒接收到的广播、组播或单播的分组流量速率,时间间隔超过一秒。

不论采用以上任何方法,一旦达到阀值,端口立即阻塞流量,并过滤掉所有后续分组。因为端口仍然处于阻塞状态,所以会继续丢弃流量,直到流量速率降低到抑制等级之下,这时候端口才恢复正常的流量转发。

示例:在快速以太网端口开启风暴控制,当网络中的广播包、多播包和单播包分别占到带宽10%、30%、50%时,

端口立即阻塞流量;当带宽占用降低至9%、25%、45%时,端口回复正常的流量转发。

SW1(config)#int range f0/0 -9
交换机工作原理及安全 三层交换机工作原理
SW1(config-if-range)#storm-controlbroadcast level 10.00 9.00
SW1(config-if-range)#storm-controlmulticast level 30.00 25.00
SW1(config-if-range)#storm-controlunicast level 50.00 45.00
SW1(config-if-range)#storm-controlactionshutdown//检测到风暴时,采取的行为是关闭接口

SW1#show storm-control f0/1unicast//查看接口上配置的风暴控制等级

说明“storm-control broadcast level 10.009.00”:当广播包占到接口总带宽10%的时候,交换机开始丢弃

后续收到的报文,并持续丢弃到9%,到9%以下时开始正常转发;如果不配置9%,那么高于10%就开始丢弃,低

于10%就开始转发,9% -10%之间是一个继续丢弃的“缓冲区”。

MAC泛洪攻击

交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪)。然而MAC地址表的大小是有限的。MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为“失效开放”(Fail-Open)的模式,开始像集线器一样工作,并将数据包广播到网络上的所有机器。因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。

配置端口安全特性

端口安全特性(PortSecurity)可以限制每个端口只使用唯一的MAC地址。它可以防止MAC泛洪攻击,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护和限制。

见:交换篇--《交换机端口安全》

DHCPSnooping攻击

在局域网内,经常使用DHCP服务器为用户分配IP地址,由于DHCP服务器和客户端之间没有认证机制,网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中,客户端以广播的方法来寻找服务器,并且只采用第一个到达的网络配置参数,所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端获得的网络参数即是非授权的,客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中,攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址,导致授权的DHCP服务器消耗了全部地址,出现DHCP饥饿。

通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是ClientMAC Address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的源MAC地址是相同的。入侵者可以利用伪造源MAC的方式发送DHCP请求,但这种攻击可以使用Cisco交换机的端口安全特性来防止。但是如果入侵者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以入侵者可以通过大量发送伪造CHADDR值的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当与伪造的DHCP服务器配合使用时,入侵者就可以伪装成DHCP服务器响应客户端DHCP请求,DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的目的地,这称为中间人攻击,可能完全无法被察觉。即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。

配置DHCP Snooping

可以在交换机上配置DHCP Snooping防止攻击,DHCPSnooping的基本原理是交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCPOffer包(DHCP服务器的响应包,而DHCP客户只会发送特定类型的DHCP包)。

见1:交换篇--《DHCP Snooping》

见2:交换篇--《DHCP Snooping + DAI + IPSG》

ARP欺骗

ARP协议是用来获取目的计算机或者网关的MAC地址的,通信发起方以广播方式发送ARP请求,拥有目的IP地址或者网关IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议支持一种无请求ARP功能,同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前Cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制,攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机,攻击者就成为了通信双方的中间人,达到窃取甚至篡改数据的目的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址,通信接收方根本不会知道自己的IP地址被取代。

启用DAI

DAI(Dynamic ARP Inspection动态ARP检查)可以防止ARP欺骗,它可以帮助保证接入交换机只传递“合法的”ARP请求和应答信息。DAI基于DHCPSnooping来工作,DHCPSnooping的监听绑定表包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联,DAI可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的MAC所有者。交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。

DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包是从一个可信任的接口接收到的,就不需要做任何检查;如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCPSnooping对于DAI来说也成为必不可少的。DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARPaccess-list的方法实现。另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阀值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。

见:交换篇--《DHCP Snooping + DAI + IPSG》

IP地址欺骗

IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其它系统或发件人的身份;这也是黑客进行DoS(Denial ofService 拒绝服务)攻击时经常同时使用的一种手段。

启用IPSG

IPSG(IP Source Guar dIP源保护)是一种基于IP/MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。IPSG能够确保二层网络中终端设备的IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。IPSG中有一个IP源绑定表(IPSource BindingTable),作为每个端口接收到的数据包的检测标准,只有在两种情况下,交换机会转发数据:所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系;所接收到的是DHCP数据包,其余数据包将被交换机做丢弃处理。

IPSG也是基于DHCPSnooping进行工作的,交换机从DHCP监听绑定表自动学习获得接口上绑定的MAC地址和IP地址。连接在交换机上的所有PC都被设置为动态获取IP地址,PC作为DHCP客户端通过广播发送DHCP请求,DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端,交换机从DHCP报文中提取关键信息(包括IP地址、MAC地址、VLAN号、端口号和租期等)并把这些信息保存到DHCP监听绑定表中。交换机根据DHCP监听绑定表的内容自动生成IP源绑定表,然后交换机根据IP源绑定表里的面内容自动在接口加载基于端口的ACL,由该ACL过滤所有IP流量。在客户端发送的IP数据包中,只有其源IP地址和MAC地址满足源IP绑定表才会被发送,对于具有源IP绑定表之外的其它源IP地址的流量,都将被过滤。

见:交换篇--《DHCP Snooping + DAI + IPSG》

其它交换机安全:

端口阻塞:

当分组到达交换机时,交换机在MAC地址表中执行目的地MAC地址查询,确定用哪个端口发出和转发分组。如果在MAC地址表中没有发现条目,则交换机将向相同VLAN(广播域)中的所有端口广播(范洪)未知单播或组播流量。给受保护端口转发未知单播或组播流量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播流量。

示例:SW1(config)#int f0/0

SW1(config-if)#switchport blockmulticast

SW1(config-if)#switchport blockunicast

SW1#show int f0/0switchport

  

爱华网本文地址 » http://www.413yy.cn/a/25101014/234139.html

更多阅读

MVC模式与三层架构的区别 mvc三层架构实例

三层架构和MVC是有明显区别的,MVC应该是展现模式(三个加起来以后才是三层架构中的UI层)   三层架构(3-tier application)通常意义上的三层架构就是将整个业务应用划分为:表现层(UI)、业务逻辑层(BLL)、数据访问层(DAL)。区分层次的目的即为了

三层架构:表示层——业务逻辑层——数据访问层

1.什么是三层架构所谓的三层开发就是将系统的整个业务应用划分为表示层——业务逻辑层——数据访问层,这样有利于系统的开发、维护、部署和扩展。分层是为了实现“高内聚、低耦合”。采用“分而治之”的思想,把问题划分开来各个解决,易

声明:《交换机工作原理及安全 三层交换机工作原理》为网友懒散小青年分享!如侵犯到您的合法权益请联系我们删除