利用交換機轉發過濾 提高網絡安全性能
當數據幀到達交換機接口時,交換機就將數據幀的目的地址與轉發/過濾MAC數據庫中的地址進行比較,如果目的硬件地址是已知的且已經在交換機的MAC數據庫中,幀就只會被發送到正確的外出接口。交換機將不會把幀送往除了目的地接口之外的任何其他接口,這就保留了在其它網段上的帶寬。這種技術就是交換機的轉發過濾技術。
這種技術對于提高網絡性能與網絡安全很有作用。筆者將通過兩個例子來談談這種技術對于交換式網絡的重要意義。
案例一:利用二層交換機來隔離沖突域
如現在有一臺交換機連著四臺主機,分別為A、B、C、D。假設現在主機A要發一個數據包給主機D。當交換機收到主機A發過來的數據幀之后,該如何處理呢?
1、若交換機中沒有主機A或者主機D的MAC地址信息
如果這個網絡是剛剛組建,又或則出于某種原因,網絡管理員把交換機重置后,則交換機的轉發/過濾表會被清除。此時,由于主機A的MAC地址不在轉發/過濾表中,所以,交換機會將主機A的MAC地址和端口添加到自己的MAC數據庫中,然后再把幀轉發到主機D中。但是,如果主機D的MAC地址不在交換機的MAC數據庫中,則交換機會將幀轉發到除了主機A連接的接口之外的其他所有接口中。也就是說,在交換機不知道目的主機MAC地址的時候,則交換機上的除了本臺設備之外的其他任何設備,如主機B、C、D都將收到主機A發出的數據包。很明顯,此時交換機的一些帶寬就會被浪費掉。在這種情形下,轉發過濾技術并不能夠帶來多大的益處。
2、若交換機知道目的主機的MAC地址
假設交換機通過ARP等機制,在自己的MAC地址庫中已經知道了所連接設備的MAC地址,如主機A、B、C、D的MAC地址。要了解這些信息不難。只要這個網絡存在一定時間,則通過地址學習功能,交換機可以記錄相關設備的MAC地址信息。
在交換機已經了解了其相鄰設備的MAC地址后,當交換機接收到主機A發過來的數據幀之后,會如何處理呢?交換機首先會讀取數據幀中的目的MAC地址。然后在自己的MAC地址庫中進行查找。發現有匹配的MAC地址后,就從MAC地址庫中查詢中對應的交換機出口。然后再把數據幀從這個出口轉發出去。從這個轉發的過程中,我們可以看到數據幀是一進一出。而不像集線器一樣,是一進多出;或者像上面提到的不知道目的MAC地址那樣,也是一進多出。在這種情形下,交換機直接把數據幀準確無誤的轉發到對應的接口上。很明顯,此時就不會對其他網段的帶寬帶來不利的影響。
通過這種轉發過濾技術,就可以在最大限度內避免沖突域的產生,從而在很大程度上提高網絡性能。
在利用二層交換機來隔離沖突域時,要注意一個問題。當交換機不知道目的MAC地址的話,則交換機并不能夠起到隔離沖突域的作用。因為此時,交換機仍然會把數據幀轉發到所有的交換機接口中。故當網絡管理員利用交換機組建比較大型的網絡時,不要頻繁的重復啟動交換機等網絡設備。因為重新啟動后,其MAC地址庫中的內容可能會丟失。如此的話,交換機就又要重零開始學習MAC地址以及MAC地址與端口的對應表。
案例二:保護交換機端口的安全
在交換機管理中,還有一個難點就是如何防止非授權用戶的主機介入到交換機的端口上? 也就是說,在一個角落中放置了一臺交換機,其中可能還有一些空閑的端口。此時,如何來保障這些端口的安全性呢?是否所有人或者網絡設備都可以隨意的連接到這些空閑的端口呢?答案當然是否定的。接下去,筆者就談談如何來保護交換機端口的安全。這跟交換機的轉發過濾決定也是息息相關的。
在思科的二層交換機中,提供了一些端口安全的保護機制。我們進入到某個交換機的接口之后,利用Switchport port-security命令,加上?通配符,就可以查看相關的端口安全選項。其實,要實現端口安全,也是基于轉發過濾技術實現的。其基本原理就是通過對交換機的MAC地址庫進行管理,來實現交換機端口的安全性。
若不設置交換機端口安全(這是思科交換機的默認設置),交換機采用的是動態的MAC地址映射技術。即交換機可以自動學習連接到其接口的網絡設備的MAC地址,從而完成數據幀的轉發。而基于端口的安全策略的實現,就是對這個自動MAC地址學習的能力進行干預。如下面幾種方式,就是筆者常用的一些解決方法。
一是把交換機某個接口允許的源MAC地址進行設置。在思科交換機中,可以利用Switchport port-security MAC地址 MAC地址命令,把某個交換機接口允許接入的網絡設備的MAC地址手工的添加進去。通過這個命令,可以將單個的MAC地址分配到交換機的每個端口中。若新接入的網絡設備,其MAC地址不在這個列表中,則就無法通過這個端口進行通信。也就是說,只要采用了這個命令,交換機就會關閉地址學習功能。當然,這種配置的話,當連接在某個接口上的網絡設備比較多,工作量就會變得比較大。為此,除非有特殊的需要,否則的話,筆者基本不采用這種方式。
二是可以通過設置,讓交換機一個接口只允許接入一臺網絡設備。默認情況下,交換機的一個端口可以接入無數的設備,在不考慮網絡性能與IP地址限制的前提下。但是,在一些特殊的應用下,我們往往只允許交換機的某個端口只允許接入一臺網絡設備。如有時候,在部門級別的網絡應用上,如網絡打印機等等。出于性能與安全的考慮,網絡管理員要確保這個服務器所在的接口只連接一臺網絡設備。因為若有多個設備連接到同一個接口中,則它們屬于同一個沖突域。一方面這會影響這個服務器的性能;另一方面,其他用戶也可以通過網絡偵聽技術竊取服務器的相關信息,從而降低服務器的安全性能。為此,網絡管理員就有必要確保交換機某個接口上只能夠連接有一臺網絡設備。這即可以利用上面的靜態配置MAC地址實現;也可以通過如下的命令實現。
Switchport port-security maximun 1
Switchport port-security violation shutdown
這兩條命令的意思就是某個交換機的接口最多只能夠連接一臺網絡設備。當超過這個最大數量時,這個端口就會被關閉。如果發生了端口被關閉的狀況,即時用戶把新增加的網絡設備移除,這個端口仍然不會被自動啟用。網絡管理員要通過no shutdown來重新啟動端口。
三是可以通過Sticky來實現交換機端口的安全性。這跟靜態配置MAC地址就有異曲同工之妙。只是其不用用戶手工的配置MAC地址。當網絡管理員組建好網絡之后,交換機首先會自動學習相關的MAC地址。等到網絡運行穩定之后,網絡管理員在進行特定的接口并利用Sticky參數。此時交換機對應接口的MAC地址庫動態學習功能就會被關閉。若用戶增加其他網絡設備,這個接口將不會接受其新的MAC地址。通過這種方式,就可以省去手工配置MAC地址的麻煩。設置后,只要在交換機不間斷運行的過程中,這個MAC地址限制將會一直有效,除非網絡管理員認為的改變他。
思科交換機就是通過這種方式來提高其端口的安全性。同時也可以通過這種方式,提高特定接口的工作效率。
不過基于轉發過濾的二層交換機,還有一個先天性的缺陷。如當主機A因為某種原因,如病毒等等,發送廣播數據包的時候,那么非常不幸的,這個數據包將會在交換機的各個接口進行轉發,從而占用了一些不必要的帶寬支出。可見,交換機雖然可以有效隔離沖突域,但是對于廣播域則無能為力。
隨著交換機設備越來越便宜,筆者越來越喜歡在企業網絡中采用交換機設備來提高網絡的性能與實現部分安全性。轉發過濾技術確實可以在很大程度上幫助網絡管理員實現網絡性能與安全方面的需求。若企業真在采用思科的交換機設備,那么就不要浪費,把其潛力盡量發揮出來吧。
【編輯推薦】
