本文共 1021 字,大约阅读时间需要 3 分钟。
交换机 端口安全
问题的产生:
大家都熟悉,交换机的基本工作原理,以及mac地址标的形成过程。当交换机收到数据帧之后,会根据数据帧的源mac地址和接收该数据帧的接口形成映射。同时,当交换机接收到数据帧之后,将会根据mac地址表,将数据转发或者洪泛。根据这个基本的原理,对于交换机就产生了基本的安全防护问题。例如:在这种情况下,如果PC0受到***,或者PC0 进行***,是的自己的mac地址不断变化,并且不断向外发送数据。交换机就会不断读取数据帧中的源mac地址字段,不断地增加mac地址表映射,最终造成的结果可能是,mac 表映射不断变化和翻滚,甚至导致内存占满,mac 表溢出。如果PC0 只是作为数据接收方而言,如果PC0的地址在不断变化,导致交换机收到数据之后,查找mac地址表失败,最终只能洪泛数据。介于此,就需要对交换机资源、网络数据通信安全进行相应的保护机制。其中的第一步就是,限定交换机某个接口上对于数据访问的限制。问题的基本解决思路
限定交换机某个接口上对于数据访问的限制。可以分为限定,交换机某个接口下,对于终端设备链接的数量,或者,将mac地址与交换机接口进行绑定,对于绑定的接口进行相应的信任操作,若出现违规现象,就采取相应的保护机制。B. 设定接口最大链接终端的数量,或者采取手工/动态地址绑定的方式:
手工绑定的方式,意味着,指定的mac地址对应的设备是被信任的;动态获取的方式意味着,交换机重启之时,会将指定接口收到的第一个mac地址与该接口绑定,这时,该mac地址对应的设备是被信任的。
C. 设置违规的惩罚机制 。
默认当原则被违反的时候,该接口执行shutdown操作,将自动进入down状态。
表现为err-disable。protect:在违反原则的时候,不会将接口down,仅仅会把数据丢弃;restrict:在违反原则的时候,不会将接口down,仅仅会把数据丢弃;同时将会向SNMP的服务器发送TRAP消息---表明在这个地方发生问题;转载于:https://blog.51cto.com/ligtt/2311909