AloneVivian 2013-03-01
宽带网接入网吧专用交换机一般需求与用户终端直接衔接,一旦用户终端传染蠕虫病毒,病毒发生就会严峻耗费带宽和网吧专用交换机资本,甚至形成网络瘫痪,这一景象在Slammer和冲击波事情中早已习以为常。
宽带接入交换机终究面对哪些平安风险?如何才干化解这些风险?接下来我们将一一提醒。
交换机的风险
应用抓包工具,路由常常捕捉到大流量的异常报文,它们一方面耗费网络带宽,另一方面耗费网络设备的资本,影响网络的正常运转。
单播类异常报文:单播流量大大都是发送给网关,网关设备依据路由表对这些报文做出转发或丢掉处置。
对私有IP地址,公网三层交换机或路由器会主动丢掉单播流量。假如用户曾经取得一个公网IP地址,这些单播流量就会被转宣布去,进而影响更大局限的网络。
以冲击波病毒为例,中毒主机只需监测到网络可用,就会启动一个进击传达线程,不时随机生成进击地址进行进击。
在冲击波发生严峻的阶段,网络速度分明变慢,一些接入层交换机和一些小型路由器甚至解体,中心三层交换机的CPU应用率到达100%,运营商不得不接纳屏障ICMP报文的方法加以应对。
播送类异常报文:播送是完成某些和谈的需要方法。播送报文会发送给特定网段内的一切主机,每台主机都邑对收到的报文进行处置,做出回应或丢掉的决议,其后果是既耗费网络带宽又影响主机功能。
应用端口隔离技能,用户可以限制播送报文只发往上行端口,如许可以减小对本网段链路和主机的影响,但无法处理对会聚层和中心层设备形成的影响。
假如在会聚或中心设备大将多个小区划在一个VLAN内,播送类流量就会经过上层设备返回到其他小区,进而持续占用这些小区的链路带宽并影响主机功能,这种装备办法在当时宽带网络中普遍存在。
组播类异常报文:组播类信息原本只服务于网络内的局部用户,其目标地址是网络内请求参加组播组的主机。一些主机并没有请求参加组播组,这些组播报文本不该该转发给这些主机,然则现实上这些主机照样收到了组播信息。是什么缘由招致组播报文转发给没有请求参加的主机呢?
本来,为了完成组播,二层交换机运用GMRP组播注册和谈或IGMPSnooping和谈来维护一个动态组播表,然后把组播报文转发授与该组播构成员相关的端口,以完成在VLAN内的二层组播,假如没有运转IGMPSnooping,组播报文将在二层播送,这就是招致组播众多的缘由。
跟着宽带网络的进一步普及以及视频使用的逐步添加,组播技能将会获得更普遍地使用,那时组播类异常流量不只会呈现在网络的第二层,并且还会路由到整个组播树。加上视频类信息流量较大,很难区分正常流量和不正常流量。因此对组播进行节制也就愈加坚苦了。
总之,局域网内的使用存在被病毒应用的可能性,假如不有用限制异常流量,就会对网络带宽以及网络设备形成资本耗费。因而,为面向用户的二层交换机添加智能,把问题隔离在最小的局限内,就显得尤为主要。
化解风险的对策
应用交换机的流量节制功用,我们可以把流经端口的异常流量限制在必然的局限内。例如,Cisco交换机具有基于端口的流量节制功用,可以完成风暴节制、端口维护和端口平安。
风暴节制可以缓解单播、播送或组播包招致的网络变慢,经过对分歧品种流量设定一个阈值,交换机在端口流量到达设定值时启动流量节制功用甚至将端口宕掉。端口维护相似于端口隔离,设置了端口维护功用的端口之间不交流任何流量。
端口平安是对未经答应的地址进行端口级的拜访限制。无独有偶,华为交换机供应流量节制和播送风暴按捺比等端口节制功用。流量节制功用用于交换机与交换机之间在发作拥塞时告诉对方临时中止发送数据包,以防止报文丧失。
播送风暴按捺可以限制播送流量的巨细,对超越设定值的播送流量进行丢掉处置。
但是,交换机的流量节制功用只能对经由端口的各类流量进行简略的速度限制,将播送、组播的异常流量限制在必然的局限内,而无法区分哪些是正常流量,哪些是异常流量。而且,如何设定一个适宜的阈值也比拟坚苦。
假如需求对报文做更进一步的节制用户可以采用ACL(拜访节制列表)。ACL应用IP地址、TCP/UDP端口等对进出交换机的报文进行过滤,依据预设前提,对报文做出答应转发或壅塞的决议。
Cisco和华为的交换机均支撑IPACL和MACACL,每种ACL辨别支撑规范花样和扩展花样。规范花样的ACL依据源地址和上层和谈类型进行过滤,扩展花样的ACL依据源地址、目标地址以及上层和谈类型进行过滤。