深入探究以太网交换机控制技术

网络 路由交换
使用安全防范技术能够减轻以太网交换机的负载量,同时也保证了局域网的安全运行,这对于网络管理员来讲,是非常重要的,也净化了网络环境。

我们都知道,在以太网交换机技术中,风暴控制技术与安全防范技术在其中起着非常重要的作用,保证我们的局域网的网络安全。在网络实际环境中,随着计算机性能的不断提升,针对网络中的以太网交换机、路由器或其它计算机等设备的攻击趋势越来越严重,影响越来越剧烈。以太网交换机作为局域网信息交换的主要设备。

特别是核心、汇聚交换机承载着极高的数据流量,在突发异常数据或攻击时,极易造成负载过重或宕机现象。为了尽可能抑制攻击带来的影响,减轻以太网交换机的负载,使局域网稳定运行,以太网交换机厂商在交换机上应用了一些安全防范技术,网络管理人员应该根据不同的设备型号,有效地启用和配置这些技术,净化局域网环境。本文以华为3COM公司的Quidway系列交换机为例,分两期为您介绍常用的安全防范技术和配置方法。以下您将学到广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术。

广播风暴控制技术

网卡或其它网络接口损坏、环路、人为干扰破坏、黑客工具、病毒传播,都可能引起广播风暴,以太网交换机会把大量的广播帧转发到每个端口上,这会极大地消耗链路带宽和硬件资源。可以通过设置以太网端口或VLAN的广播风暴抑制比,从而有效地抑制广播风暴,避免网络拥塞。

1.广播风暴抑制比

可以使用以下命令限制端口上允许通过的广播流量的大小,当广播流量超过用户设置的值后,系统将对广播流量作丢弃处理,使广播所占的流量比例降低到合理的范围,以端口最大广播流量的线速度百分比作为参数,百分比越小,表示允许通过的广播流量越小。当百分比为100时,表示不对该端口进行广播风暴抑制。缺省情况下,允许通过的广播流量为100%,即不对广播流量进行抑制。在以太网端口视图下进行下列配置:broadcast-suppression ratio。

2.为VLAN指定广播风暴抑制比

同样,可以使用下面的命令设置VLAN允许通过的广播流量的大小。缺省情况下,系统所有VLAN不做广播风暴抑制,即max-ratio值为100%。

MAC地址控制技术

以太网交换机可以利用MAC地址学习功能获取与某端口相连的网段上各网络设备的MAC 地址。对于发往这些MAC地址的报文,以太网交换机可以直接使用硬件转发。如果MAC地址表过于庞大,可能导致以太网交换机的转发性能的下降。MAC攻击利用工具产生欺骗的MAC地址,快速填满交换机的MAC表,MAC表被填满后,交换机会以广播方式处理通过交换机的报文,流量以洪泛方式发送到所有接口,这时攻击者可以利用各种嗅探工具获取网络信息。TRUNK接口上的流量也会发给所有接口和邻接交换机,会造成交换机负载过大,网络缓慢和丢包,甚至瘫痪。可以通过设置端口上最大可以通过的MAC地址数量、MAC地址老化时间,来抑制MAC攻击。

1.设置最多可学习到的MAC地址数

通过设置以太网端口最多学习到的MAC地址数,用户可以控制以太网交换机维护的MAC地址表的表项数量。如果用户设置的值为count,则该端口学习到的MAC地址条数达到count 时,该端口将不再对MAC地址进行学习。缺省情况下,交换机对于端口最多可以学习到的MAC地址数目没有限制。
在以太网端口视图下进行下列配置:mac-address max-mac-count count。

2.设置系统MAC地址老化时间

设置合适的老化时间可以有效实现MAC地址老化的功能。用户设置的老化时间过长或者过短,都可能导致以太网交换机广播大量找不到目的MAC地址的数据报文,影响交换机的运行性能。如果用户设置的老化时间过长,以太网交换机可能会保存许多过时的MAC地址表项,从而耗尽MAC地址表资源,导致以太网交换机无法根据网络的变化更新MAC地址表。如果用户设置的老化时间太短,以太网交换机可能会删除有效的MAC地址表项。一般情况下,推荐使用老化时间age的缺省值300秒。在系统视图下进行下列配置: mac-address timer { aging age | no-aging }使用参数no-aging时表示不对MAC地址表项进行老化。

3.设置MAC地址表的老化时间

这里的锁定端口就是指设置了最大学习MAC地址数的以太网端口。在以太网端口上使用命令mac-address max-mac-count设置端口能够学习的最大地址数以后,学习到的MAC地址表项将和相应的端口绑定起来。如果某个MAC地址对应的主机长时间不上网或已移走,它仍然占用端口上的一个MAC地址表项,从而造成MAC地址在这5个MAC地址以外的主机将不能上网。此时可以通过设置锁定端口对应的MAC地址表的老化时间,使长时间不上网的主机对应的MAC地址表项老化,从而使其他主机可以上网。缺省情况下,锁定端口对应的MAC地址表的老化时间为1小时。

责任编辑:王晓东 来源: NET130
相关推荐

2010-01-11 10:27:00

以太网交换机

2010-01-26 17:03:18

以太网交换机

2013-01-17 15:22:18

以太网交换机网络虚拟化

2010-03-12 14:10:19

以太网交换机

2012-10-18 10:38:17

以太交换机交互MACNIC

2013-11-21 18:26:34

2010-01-04 15:36:52

以太网交换机

2010-01-14 15:17:36

2010-02-02 18:18:48

千兆以太网交换机

2009-06-26 10:27:33

千兆以太网路由交换机

2010-01-05 10:29:02

以太网交换机

2010-03-11 09:33:54

2010-01-25 17:47:48

以太网交换机

2010-03-17 16:52:57

2015-06-08 14:51:23

以太网交换机交换机

2010-01-25 09:31:45

以太网交换机

2010-01-05 11:05:01

以太网交换机堆叠

2010-02-04 14:49:09

2010-01-28 09:56:14

以太网交换机堆叠

2010-03-11 15:44:07

以太网交换机配置
点赞
收藏

51CTO技术栈公众号