爱华网交换机工作原理
交换机是二层设备,可以隔离冲突域。交换机是基于收到数据帧中的源MAC地址和目的MAC地址来工作的。交换机的作用有两个:一是维护CAM(内容可寻址寄存器Context AddressableMemory)表,该表是MAC地址和交换机端口的映射表;二是:根据CAM表来进行数据帧的转发。
交换机的5种基本操作
1.学习/获取:交换机会学习收到的数据帧的源MAC地址;
1>当交换机从某个端口收到数据帧时,会读取帧的源MAC地址并在MAC表中填入该MAC地址及其对应的端口。
2.过期:通过学习过程学习到的MAC条目具有时间戮,此时间戮用于从MAC表中删除旧条目。
1>当某个条目在MAC表中创建之后,就会使用其时间戮作为起始值开始递减计数。计数值到0后,条目被删除;
2>如果在条目被删除之前,交换机从相同端口收到同一源MAC的帧时,将会刷新表中的该条目;
3>在时间戮计数值到0后,仍未从该端口收到该源MAC的帧时,条目将被删除。
3.泛洪:交换机将帧发送到除接收端口以外的其它所有端口的过程称为泛洪。
1>当收到目的MAC地址不在MAC表中的数据帧时,交换机不知道该往哪一个端口发送该帧,此时会泛洪;
2>当收到目的MAC地址为广播地址的帧时,会泛洪;
3>当收到目的MAC地址为组播(多播)地址的帧时,会泛洪。
4.选择性转发:检查帧的MAC地址后,将帧从适当的端口转发出去的过程称为选择性转发。
1>交换机收到数据帧后,如果该帧的MAC地址在MAC表中,则将帧转发到相应端口,而不是泛洪到所有端口。
5.过滤:在某些情况下,帧不会被转发。
1>交换机不会将帧转发到接收帧的端口;
2>交换机会丢弃损坏的帧而不转发,如没有通过CRC校验的帧等;
3>由于某些安全设置帧不会被交换机转发,如基于MAC地址的ACL、VLAN等。
以太网交换机转发数据帧方式
见:交换篇--《交换机交换模式》
对称交换和非对称交换
根据交换机端口的带宽,交换机可分为对称交换和非对称交换两类。
对称交换:交换机所有端口的带宽都相同。对称交换可优化为合理分配流量负载,例如在点对点桌面环境中。
非对称交换:交换机端口的带宽不相同,非对称交换使更多带宽能专用于服务器交换机端口,以防止产生瓶
颈,实现了更为平滑的流量传输,使多台客户端可同时与服务器通信。对称交换机上需要内存缓冲,为了使交
换机匹配不同端口上的不同数据速率,完整帧将保留在内存缓冲区中,并根据需要逐个移至端口。
交换机上的安全
交换机的安全是一个很重要的问题,在交换机上配置密码是最基本的配置。除此之外还要防止一些恶意的攻击。
常见的攻击方法及缓解措施:
LAN风暴
局域网风暴一般发生于恶意分组在LAN网段泛洪时,会产生不必要的多余流量,从而导致网络性能退化。某些因素会导致一场网络风暴,如包括协议栈实施中的错误或设备配置中所产生的漏洞。风暴控制特性可以防止常规网络流量在任何物理层接口上遭受广播、组播或单播分组风暴的侵犯。
风暴控制/流量抑制特性:
流量风暴控制以1秒钟的间隔监控入站分组,并使用下列方法之一,将其与已配置的风暴控制等级比较来控制:
①分层给广播、组播或单播流量的端口全部可用带宽百分比。
②接口每秒接收到的广播、组播或单播的分组流量速率,时间间隔超过一秒。
不论采用以上任何方法,一旦达到阀值,端口立即阻塞流量,并过滤掉所有后续分组。因为端口仍然处于阻塞状态,所以会继续丢弃流量,直到流量速率降低到抑制等级之下,这时候端口才恢复正常的流量转发。
示例:在快速以太网端口开启风暴控制,当网络中的广播包、多播包和单播包分别占到带宽10%、30%、50%时,
端口立即阻塞流量;当带宽占用降低至9%、25%、45%时,端口回复正常的流量转发。
SW1(config)#int range f0/0 -9
SW1(config-if-range)#storm-controlbroadcast level 10.00 9.00
SW1(config-if-range)#storm-controlmulticast level 30.00 25.00
SW1(config-if-range)#storm-controlunicast level 50.00 45.00
SW1(config-if-range)#storm-controlactionshutdown//检测到风暴时,采取的行为是关闭接口
SW1#show storm-control f0/1unicast//查看接口上配置的风暴控制等级
说明“storm-control broadcast level 10.009.00”:当广播包占到接口总带宽10%的时候,交换机开始丢弃
后续收到的报文,并持续丢弃到9%,到9%以下时开始正常转发;如果不配置9%,那么高于10%就开始丢弃,低
于10%就开始转发,9% -10%之间是一个继续丢弃的“缓冲区”。
MAC泛洪攻击
交换机依赖MAC地址表转发数据帧,如果MAC地址不存在,则交换机将帧转发到交换机上的每一个端口(泛洪)。然而MAC地址表的大小是有限的。MAC泛洪攻击利用这一限制用虚假源MAC地址轰炸交换机,直到交换机MAC地址表变满。交换机随后进入称为“失效开放”(Fail-Open)的模式,开始像集线器一样工作,并将数据包广播到网络上的所有机器。因此,攻击者可看到发送到无MAC地址表条目的另一台主机的所有帧。
配置端口安全特性:
端口安全特性(PortSecurity)可以限制每个端口只使用唯一的MAC地址。它可以防止MAC泛洪攻击,限制端口上所允许的有效MAC地址的数量,并定义攻击发生时端口的动作:关闭、保护和限制。
见:交换篇--《交换机端口安全》
DHCPSnooping攻击
在局域网内,经常使用DHCP服务器为用户分配IP地址,由于DHCP服务器和客户端之间没有认证机制,网络攻击的另一种办法是伪装有效DHCP服务器发出的响应。在DHCP工作原理中,客户端以广播的方法来寻找服务器,并且只采用第一个到达的网络配置参数,所以如果在网络中存在多台DHCP服务器(有一台或更多台是非授权的),谁先应答,客户端就采用其提供给的网络配置参数。假如非授权的DHCP服务器先应答,这样客户端获得的网络参数即是非授权的,客户端可能获取不正确的IP地址、网关和DNS等信息。在实际攻击中,攻击者还很可能恶意从授权的DHCP服务器上反复申请IP地址,导致授权的DHCP服务器消耗了全部地址,出现DHCP饥饿。
通常DHCP服务器通过检查客户端发送的DHCP请求报文中的CHADDR(也就是ClientMAC Address)字段来判断客户端的MAC地址。正常情况下该CHADDR字段和发送请求报文的客户端真实的源MAC地址是相同的。入侵者可以利用伪造源MAC的方式发送DHCP请求,但这种攻击可以使用Cisco交换机的端口安全特性来防止。但是如果入侵者不修改DHCP请求报文的源MAC地址,而是修改DHCP报文中的CHADDR字段来实施攻击,那端口安全就不起作用了。由于DHCP服务器认为不同的CHADDR值表示请求来自不同的客户端,所以入侵者可以通过大量发送伪造CHADDR值的DHCP请求,导致DHCP服务器上的地址池被耗尽,从而无法为其他正常用户提供网络地址,这是一种DHCP耗竭攻击。DHCP耗竭攻击可以是纯粹的DOS攻击,也可以与伪造的DHCP服务器配合使用。当与伪造的DHCP服务器配合使用时,入侵者就可以伪装成DHCP服务器响应客户端DHCP请求,DHCP欺骗设备将入侵者指定为默认网关或默认域名服务器(DNS)服务器。如果指定为网关,客户机将把数据包转发给攻击设备,而攻击设备则接着将数据包发送到所要的目的地,这称为中间人攻击,可能完全无法被察觉。即使DHCP请求报文的源MAC地址和CHADDR字段都是正确的,但由于DHCP请求报文是广播报文,如果大量发送的话也会耗尽网络带宽,形成另一种拒绝服务攻击。
配置DHCP Snooping
可以在交换机上配置DHCP Snooping防止攻击,DHCPSnooping的基本原理是交换机监听DHCP数据帧,对于不信任的接口将拒绝接收DHCPOffer包(DHCP服务器的响应包,而DHCP客户只会发送特定类型的DHCP包)。
见1:交换篇--《DHCP Snooping》
见2:交换篇--《DHCP Snooping + DAI + IPSG》
ARP欺骗
ARP协议是用来获取目的计算机或者网关的MAC地址的,通信发起方以广播方式发送ARP请求,拥有目的IP地址或者网关IP地址的工作站给予ARP应答,送回自己的IP和MAC地址。ARP协议支持一种无请求ARP功能,同一网段上的所有工作站收到主动ARP广播后会将发送者的MAC地址和其宣布的IP地址保存,覆盖以前Cache的同一IP地址和对应的MAC地址。由于ARP无任何身份真实校验机制,攻击者发送误导的主动式ARP使网络流量经过恶意攻击者的计算机,攻击者就成为了通信双方的中间人,达到窃取甚至篡改数据的目的。攻击者发送的主动模式ARP采用发送方私有MAC地址而非广播地址,通信接收方根本不会知道自己的IP地址被取代。
启用DAI
DAI(Dynamic ARP Inspection动态ARP检查)可以防止ARP欺骗,它可以帮助保证接入交换机只传递“合法的”ARP请求和应答信息。DAI基于DHCPSnooping来工作,DHCPSnooping的监听绑定表包括IP地址与MAC地址的绑定信息,并将其与特定的交换机端口相关联,DAI可以用来检查所有非信任端口的ARP请求和应答(主动式ARP和非主动式ARP),确保应答来自真正的MAC所有者。交换机通过检查端口记录的DHCP绑定信息和ARP应答的IP地址决定其是否是真正的MAC所有者,不合法的ARP包将被拒绝转发。
DAI针对VLAN配置,对于同一VLAN内的接口,可以开启DAI也可以关闭,如果ARP包是从一个可信任的接口接收到的,就不需要做任何检查;如果ARP包是从一个不可信任的接口上接收到的,该包就只能在绑定信息被证明合法的情况下才会被转发出去。这样,DHCPSnooping对于DAI来说也成为必不可少的。DAI是动态使用的,相连的客户端主机不需要进行任何设置上的改变。对于没有使用DHCP的服务器,个别机器可以采用静态添加DHCP绑定表或ARPaccess-list的方法实现。另外,通过DAI可以控制某个端口的ARP请求报文频率。一旦ARP请求频率超过预先设定的阀值,立即关闭该端口。该功能可以阻止网络扫描工具的使用,同时对有大量ARP报文特征的病毒或攻击也可以起到阻断作用。
见:交换篇--《DHCP Snooping + DAI + IPSG》
IP地址欺骗
IP地址欺骗是指行动产生的IP数据包为伪造的源IP地址,以便冒充其它系统或发件人的身份;这也是黑客进行DoS(Denial ofService 拒绝服务)攻击时经常同时使用的一种手段。
启用IPSG
IPSG(IP Source Guar dIP源保护)是一种基于IP/MAC的端口流量过滤技术,它可以防止局域网内的IP地址欺骗攻击。IPSG能够确保二层网络中终端设备的IP地址不会被劫持,而且还能确保非授权设备不能通过自己指定IP地址的方式来访问网络或攻击网络导致网络崩溃及瘫痪。IPSG中有一个IP源绑定表(IPSource BindingTable),作为每个端口接收到的数据包的检测标准,只有在两种情况下,交换机会转发数据:所接收到的IP包满足IP源绑定表中Port/IP/MAC的对应关系;所接收到的是DHCP数据包,其余数据包将被交换机做丢弃处理。
IPSG也是基于DHCPSnooping进行工作的,交换机从DHCP监听绑定表自动学习获得接口上绑定的MAC地址和IP地址。连接在交换机上的所有PC都被设置为动态获取IP地址,PC作为DHCP客户端通过广播发送DHCP请求,DHCP服务器将含有IP地址信息的DHCP回复通过单播的方式发送给DHCP客户端,交换机从DHCP报文中提取关键信息(包括IP地址、MAC地址、VLAN号、端口号和租期等)并把这些信息保存到DHCP监听绑定表中。交换机根据DHCP监听绑定表的内容自动生成IP源绑定表,然后交换机根据IP源绑定表里的面内容自动在接口加载基于端口的ACL,由该ACL过滤所有IP流量。在客户端发送的IP数据包中,只有其源IP地址和MAC地址满足源IP绑定表才会被发送,对于具有源IP绑定表之外的其它源IP地址的流量,都将被过滤。
见:交换篇--《DHCP Snooping + DAI + IPSG》
其它交换机安全:
端口阻塞:
当分组到达交换机时,交换机在MAC地址表中执行目的地MAC地址查询,确定用哪个端口发出和转发分组。如果在MAC地址表中没有发现条目,则交换机将向相同VLAN(广播域)中的所有端口广播(范洪)未知单播或组播流量。给受保护端口转发未知单播或组播流量,这将可能出现安全问题。使用端口阻塞特性可以阻塞正在转发的未知单播或多播流量。
示例:SW1(config)#int f0/0
SW1(config-if)#switchport blockmulticast
SW1(config-if)#switchport blockunicast
SW1#show int f0/0switchport
