当前位置：首页 > 范文大全 > 实用文>技术解析怎样的交换机才是安全？

技术解析怎样的交换机才是安全？

2023-04-03 08:28:00 收藏本文下载本文

“酸柿”通过精心收集，向本站投稿了7篇技术解析怎样的交换机才是安全？，小编在这里给大家带来技术解析怎样的交换机才是安全？，希望大家喜欢!

技术解析怎样的交换机才是安全？

篇1：技术解析怎样的交换机才是安全？

安全交换机D网络界的新宠儿，网络入口的守关者，志在向一切不安全的因素举起大刀，

网络时代的到来使得安全问题成为一个迫切需要解决的问题;病毒、以及各种各样漏洞的存在，使得安全任务在网络时代变得无比艰巨。

交换机在企业网中占有重要的地位，通常是整个网络的核心所在。在这个入侵风起云涌、病毒肆虐的网络时代，作为核心的交换机也理所当然要承担起网络安全的一部分责任。因此，交换机要有专业安全产品的性能，安全已经成为网络建设必须考虑的重中之中。安全交换机由此应运而生，在交换机中集成安全认证、ACL(Access Control List，访问控制列表)、防火墙、入侵检测甚至防毒的功能，网络的安全真的需要“武装到牙齿”。

安全交换机三层含义

交换机最重要的作用就是转发数据，在攻击和病毒侵扰下，交换机要能够继续保持其高效的数据转发速率，不受到攻击的干扰，这就是交换机所需要的最基本的安全功能。同时，交换机作为整个网络的核心，应该能对访问和存取网络信息的用户进行区分和权限控制。更重要的是，交换机还应该配合其他网络安全设备，对非授权访问和网络攻击进行监控和阻止。

安全交换机的新功能

802.1x加强安全认证

在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者是未经授权的用户可以通过连接到局域网的设备进入网络。这样给一些企业造成了潜在的安全威胁。另外，在学校以及智能小区的网络中，由于涉及到网络的计费，所以验证用户接入的合法性也显得非常重要。IEEE 802.1x 正是解决这个问题的良药，目前已经被集成到二层智能交换机中，完成对用户的接入安全审核。

802.1x协议是刚刚完成标准化的一个符合IEEE 802协议集的局域网接入控制协议，其全称为基于端口的访问控制协议。它能够在利用IEEE 802局域网优势的基础上提供一种对连接到局域网的用户进行认证和授权的手段，达到了接受合法用户接入，保护网络安全的目的。

802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，如若认证失败则不允许接入;在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”的设备的数据流会被自动丢弃，从而确保最大限度的安全性。

在802.1x协议中，只有具备了以下三个元素才能够完成基于端口的访问控制的用户认证和授权。

1. 客户端。一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

2. 认证系统。在以太网系统中指认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

3. 认证服务器。通过检验客户端发送来的身份标识(用户名和口令)来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

流量控制

安全交换机的流量控制技术把流经端口的异常流量限制在一定的范围内，避免交换机的带宽被无限制滥用，

安全交换机的流量控制功能能够实现对异常流量的控制，避免网络堵塞。

防DDoS

企业网一旦遭到大规模分布式拒绝服务攻击，会影响大量用户的正常网络使用，严重的甚至造成网络瘫痪，成为服务提供商最为头疼的攻击。安全交换机采用专门的技术来防范DDoS攻击，它可以在不影响正常业务的情况下，智能地检测和阻止恶意流量，从而防止网络受到DDoS攻击的威胁。

虚拟局域网VLAN

虚拟局域网是安全交换机必不可少的功能。VLAN可以在二层或者三层交换机上实现有限的广播域，它可以把网络分成一个一个独立的区域，可以控制这些区域是否可以通讯。VLAN可能跨越一个或多个交换机，与它们的物理位置无关，设备之间好像在同一个网络间通信一样。VLAN可在各种形式上形成，如端口、MAC地址、IP地址等。VLAN限制了各个不同VLAN之间的非授权访问，而且可以设置IP/MAC地址绑定功能限制用户的非授权网络访问。

基于访问控制列表的防火墙功能

安全交换机采用了访问控制列表ACL来实现包过滤防火墙的安全功能，增强安全防范能力。访问控制列表以前只在核心路由器才获使用。在安全交换机中，访问控制过滤措施可以基于源/目标交换槽、端口、源/目标VLAN、源/目标IP、TCP/UDP端口、ICMP类型或MAC地址来实现。

ACL不但可以让网络管理者用来制定网络策略，针对个别用户或特定的数据流进行允许或者拒绝的控制，也可以用来加强网络的安全屏蔽，让找不到网络中的特定主机进行探测，从而无法发动攻击。

入侵检测IDS

安全交换机的IDS功能可以根据上报信息和数据流内容进行检测，在发现网络安全事件的时候，进行有针对性的操作，并将这些对安全事件反应的动作发送到交换机上，由交换机来实现精确的端口断开操作。实现这种联动，需要交换机能够支持认证、端口镜像、强制流分类、进程数控制、端口反查等功能

设备冗余也重要

物理上的安全也就是冗余能力是网络安全运行的保证。任何厂商都不能保证其产品不发生故障，而发生故障时能否迅速切换到一个好设备上，是令人关心的问题。后备电源、后备管理模块、冗余端口等冗余设备就能保证即使在设备出现故障的情况下，立刻赋予后备的模块、安全保障网络的运行。

安全交换机的布署

安全交换机的出现，使得网络在交换机这个层次上的安全能力大大增强。安全交换机可以配备在网络的核心，如同思科Catalyst 6500这个模块化的核心交换机那样，把安全功能放在核心来实现。这样做的好处是可以在核心交换机上统一配置安全策略，做到集中控制，而且方便网络管理人员的监控和调整。而且核心交换机都具备强大的能力，安全性能是一项颇费处理能力的工作，核心交换机做起这个事情来能做到物尽其能。

把安全交换机放在网络的接入层或者汇聚层，是另外一个选择。这样配备安全交换机的方式就是核心把权力下放到边缘，在各个边缘就开始实施安全交换机的性能，把入侵和攻击以及可疑流量堵在边缘之外，确保全网的安全。这样就需要在边缘配备安全交换机，很多厂家已经推出了各种边缘或者汇聚层使用的安全交换机。它们就像一个个的堡垒一样，在核心周围建立起一道坚固的安全防线。

篇2：三层交换机技术解析网络知识

三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈等问题，三层交换原理一个具有三层交换功能的设备，相当于是一个带有第三层路由功能的第二层交换机，但它是二者

三层交换技术的出现，解决了局域网中网段划分之后，网段中子网必须依赖路由器进行管理的局面，解决了传统路由器低速、复杂所造成的网络瓶颈等问题。

三层交换原理

一个具有三层交换功能的设备，相当于是一个带有第三层路由功能的第二层交换机，但它是二者的有机结合，并不是简单地把路由器设备的硬件及软件叠加在局域网交换机上。

其原理是：假设两个使用IP协议的主机A、B通过第三层交换机进行通信，发送主机A在开始发送时，把自己的IP地址与B主机的IP地址比较，判断B主机是否与自己在同一子网内。若B与A在同一子网内，则进行二层的转发。若两个主机不在同一子网内，如A要与目的主机B通信，发送主机A要向“缺省网关”发出 ARP(地址解析)封包，而“缺省网关”的IP地址其实是三层交换机的三层交换模块。当发送主机A对“缺省网关”的IP地址广播出一个ARP请求时，如果三层交换模块在以前的通信过程中已经知道B主机的MAC地址，则向A回复B的MAC地址；否则三层交换模块根据路由信息向B广播一个ARP请求，B得到此 ARP请求后向三层交换模块回复其MAC地址，三层交换模块保存此地址并回复给发送主机A,同时将B主机的MAC地址发送到二层交换引擎的MAC地址表中。从这以后，当A向B发送的数据包便全部交给二层交换处理，信息得以高速交换。由于仅仅在路由过程中才需要三层处理，绝大部分数据都通过二层交换转发，因此三层交换机的速度很快，接近二层交换机的速度，同时比相同路由器的价格低很多。

因为通信双方并没有通过路由器进行“拆包”和“打包”的过程，所以那怕主机A、B或C分属于不同的子网，它们之间也可直接知道对方的MAC地址来进行通信，最重要的是，第三层交换机并没有像其它交换机一样把广播封包扩散，第三层交换机之所以叫三层交换机就是因为它可以看懂三层信息，比如IP地址、ARP等，

所以，三层交换机便能洞悉某一广播封包目的何在，在没有把它扩散出去的情形下，同时满足了发出该广播封包的人的需求(不论它们在任何子网里)。因为第三层交换机没做任何“拆、打”数据包的工作，所有经过它的数据包都不会被修改并以交换的速度传到目的地。所以，应用第三层交换技术即可实现网络路由的功能，又可以根据不同的网络状况做到最优的网络性能。

三层交换机种类

三层交换机可以根据其处理数据的不同而分为纯硬件和纯软件两大类。

(1)纯硬件的三层技术相对来说技术复杂，成本高，但是速度快，性能好，负载能力强。其原理是，采用ASIC芯片，采用硬件的方式进行路由表的查找和刷新。如图1所示。

当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进行二层转发，否则将数据送至三层引擎。在三层引擎中，ASIC芯片查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机，得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。

图1 纯硬件三层交换机原理

① 端口A向三层交换模块发出ARP请求 ② 三层交换模块向端口B所在网段广播ARP请求 ③ 端口B的ARP应答 ④ 更新MAC地址表

广州百讯的SPEED ES3224及ES3800都属于这种类型。

(2)基于软件的三层交换机技术较简单，但速度较慢，不适合作为主干。其原理是，采用CPU用软件的方式查找路由表。如图2所示。

当数据由端口接口芯片接收进来以后，首先在二层交换芯片中查找相应的目的MAC地址，如果查到，就进行二层转发否则将数据送至CPU。CPU查找相应的路由表信息，与数据的目的IP地址相比对，然后发送ARP数据包到目的主机得到该主机的MAC地址，将MAC地址发到二层芯片，由二层芯片转发该数据包。因为低价CPU处理速度较慢，因此这种三层交换机处理速度较慢。

图2 软件三层交换机原理

① 端口A向三层交换模块发出ARP请求 ② 三层交换模块向端口B所在网段广播ARP请求 ③ 端口B的ARP应答 ④ 更新MAC地址表

原文转自：www.ltesting.net

篇3：交换机安全防范技术(二)

上期为您介绍了交换机常用的广播风暴控制技术、MAC地址控制技术、DHCP控制技术及ACL技术，本期将继续为您介绍交换机常用的安全防范技术，以下您将学到流量及端口限速控制技术、TCP属性及CPU负载控制技术、ARP技术、登录和访问交换机控制技术、镜像技术。

流量及端口限速控制技术

为了防止因大流量数据传输引起的端口阻塞，消除恶意用户或者中毒用户对网络的影响，可以采用流量及端口限速控制技术。

配置端口流量阈值

通过配置端口流量阈值，系统可以周期性地对端口的数据流量进行监控。当端口的数据流量超出配置的阈值后，系统将根据指定的方式进行处理：自动关闭端口并发送告警信息或仅发送告警信息。在以太网端口视图下配置端口的流量阈值及超出阈值后的处理方式：

flow-constrain time-value flow-value { bps | pps }

flow-constrain method { shutdown | trap }

流量监管

流量监管是基于流的速率限制，它可以监督某一流量的速率，如果流量超出指定的规格，就采用相应的措施，如丢弃那些超出规格的报文或重新设置它们的优先级。

端口限速

端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

TCP属性及CPU负载控制技术

扫描、蠕虫病毒等都会引起过多TCP连接，CPU负载过重与此也有关系，适当地调整交换机的TCP属性和送达CPU的报文，可以有效地降低CPU负载。

配置TCP 属性

synwait定时器：当发送SYN报文时，TCP启动synwait定时器，如果synwait超时前未收到回应报文，则TCP连接将被终止。synwait定时器的超时时间取值范围为2～600秒，缺省值为75秒：

tcp timer syn-timeout time-value

finwait定时器：当TCP的连接状态由FIN_WAIT_1变为FIN_WAIT_2时，启动finwait 定时器，如果finwait定时器超时前仍未收到FIN报文，则TCP连接被终止。finwait的取值范围为76～3600秒，finwait的缺省值为675秒：

tcp timer fin-timeout time-value

面向连接Socket的接收和发送缓冲区的大小：范围为1～32K字节，缺省值为4K字节：

tcp window window-size

配置特殊IP报文是否送CPU处理

在交换机的IP报文转发过程中，通常重定向、TTL超时及路由不可达的报文会送到CPU，CPU在收到以上报文后会通知对方处理。但如果配置错误或有人恶意攻击，则会造成CPU负载过重，这时便可通过下面的命令设置相应报文不送CPU处理，以保护系统的正常运行。缺省情况下，重定向、路由不可达的报文不送CPU处理，TTL超时报文送CPU处理：

undo ip { redirects | ttl-expires | unreachables }

ARP技术

IP地址不能直接用来进行通信，因为链路层的网络设备只能识别MAC地址。ARP用于将IP地址解析为MAC地址，ARP动态执行并自动寻求IP地址到以太网MAC地址的解析，无需管理员的介入，也可以手工维护。通常将手工配置的IP地址到MAC地址的映射，称之为静态ARP。

免费ARP技术通过对外发送免费ARP报文，防止通过各种ARP欺骗手段产生的攻击。

动态ARP老化定时器

交换机允许用户指定动态ARP老化定时器的时间。动态地址表的老化时间是指在该表项从交换机地址表中删除之前的生存时间，若定时器超时，就将该表项从地址表中删除。缺省情况下，动态ARP老化定时器为20分钟：

arp timer aging aging-time

免费ARP技术

免费ARP功能：网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突，

如果发送免费ARP报文的设备正好改变了硬件地址，那么这个报文就可以通知其他设备及时更新高速缓存中旧的硬件地址。例如：设备收到一个免费ARP报文后，如果高速缓存中已存在此报文对应的ARP表项，那么此设备就用免费ARP报文中携带的发送端硬件地址（如以太网地址）对高速缓存中相应的内容进行更新。设备接收到任何免费ARP报文都要完成这个操作。

免费ARP报文的特点：报文中携带的源IP和目的IP地址都是本机地址，报文源MAC地址是本机MAC地址。当设备收到免费ARP报文后，如果发现报文中的IP地址和自己的IP地址冲突，则给发送免费ARP报文的设备返回一个ARP应答，告知该设备IP地址冲突。缺省情况下，交换机的免费ARP报文发送功能处于开启状态，免费ARP报文学习功能处于关闭状态。在系统视图下免费ARP的配置过程如下：

arp send-gratuitous enable

gratuitous-arp-learning enable

登录和访问交换机控制技术

目前，以太网交换机提供了多种用户登录、访问设备的方式，主要有通过Console口、SNMP访问、通过TELNET或SSH访问和通过HTTP访问等方式。以太网交换机提供对这几种访问方式进行安全控制的特性，防止非法用户登录、访问交换机设备。

安全控制分为两级：第一级安全通过控制用户的连接实现，通过配置ACL对登录用户进行过滤，只有合法用户才能和交换机设备建立连接；第二级安全主要通过用户口令认证实现，连接到设备的用户必须通过口令认证才能真正登录到设备。

设置口令

为防止未授权用户的非法侵入，必须在不同登录和访问的用户界面（AUX用户界面用于通过Console口对以太网交换机进行访问，VTY用户界面用于通过Telnet对以太网交换机进行访问）设置口令，包括容易忽略的SNMP的访问口令（一定不要用public的默认口令）和Boot Menu口令，同时设置登录和访问的默认级别和切换口令。

在不同登录和访问的用户界面，使用如下命令设置口令：

authentication-mode password

set authentication password { cipher | simple } password

配置ACL对登录用户进行过滤

通过配置ACL对登录用户进行过滤控制，可以在进行口令认证之前将一些恶意或者不合法的连接请求过滤掉，保证设备的安全。配置ACL对登录用户进行过滤控制需要定义访问控制列表和引用访问控制列表。

配置举例及步骤：仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机：

# 定义基本访问控制列表。

[Quidway] acl number match-order config

[Quidway-acl-basic-2008] rule 1 permit source 10.10.1.66 0

[Quidway-acl-basic-2008] rule 2 permit source 10.10.1.78 0

[Quidway-acl-basic-2008] quit

# 引用访问控制列表。

[Quidway] user-interface vty 0 4

[Quidway-user-interface-vty0-4] acl 2008 inbound

镜像技术

以太网交换机提供基于端口和流的镜像功能，即可将指定的1个或多个端口的报文或数据包复制到监控端口，用于报文的分析和监视、网络检测和故障排除（以S6500系列为例）：

mirroring-group groupId { inbound | outbound } mirroring-port-list 1-8 mirrored-to mornitor-port

由于大多数对局域网危害较大的网络病毒和人为破坏都具有典型的欺骗和扫描、快速发包、大量ARP请求等特征，考虑局域网的实际情况，综合采用上述技术中的某几种，在接入层、汇聚层交换机上分级配置，可以在一定程度上自动阻断恶意数据包，及时告警，准确定位病毒源、故障或干扰点，及时采取措施，把对局域网的危害减轻到尽可能小的程度。

篇4：怎样正确学会不对称交换机技术

不对称交换机一般多用的是基于共享的存储缓冲器中，它的唯一的好处就是可以避免大量的数据包丢失，这在日常的使用过程中是十分有用的，为一些中小型企业减少了不小的压力，

以太网交换机一般使用缓冲技术来存储和发送数据包到合适的端口或者多个端口。这个用来临时存放数据的地方就叫做存储器缓冲区。存储器缓冲区一般是通过两种方式在转发数据包。

基于端口的存储缓冲期与基于共享存储器缓冲区。假设现在有个交换机，其只有A、B、C三个接口。现在假设从交换机的 A端口有个数据需要发送到C端口，这个存储缓冲区该如何工作呢?

若不对称交换机采用的是基于端口的存储缓冲器中，则数据包将存储在与特定的进入端口相连的队列中。也就是说，当数据包从交换机的端口A中进入，向从端口C出去时，则数据先会依次存储在端口A的存储器缓冲区里面，而不是直接被转发给发出端口C的存储器缓冲区里面。

交换机需要先判断一下，端口A所在的存储器缓冲区里面，在这个数据包前面是否有其他的包存在。根据先来后到的原则，只有等到其前面的数据包全部发送完毕后，这个数据包才会被发送到C端口的存储器缓冲区里面，然后再进行排队等候。

等到其前面的数据全部发送出去之后，这个数据包才会在C端口上被发送出去。所以，这很可能导致数据的延迟，当一个C端口或者A端口比较繁忙时，这种延迟的现象就会比较严重。

而且，这个存储器缓冲区的的大小一般是受到端口限制的。如此的话，若把数据从100M/S的端口发送到10 M/S的端口上去的时候，数据的丢包现象就会比较严重。所以，基于端口的存储缓冲器，一般常用于对称交换机上，而不用于不对称交换机。

不对称交换机一般多用的是基于共享的存储缓冲器中。共享存储缓冲器是指在交换机上，有专门一块地方，用来临时存放这些数据包，

而这块地方又是共享的，交换机的各个端口都可以访问。

这个基于端口的存储缓冲器有本质的区别。后者的话，各个存储缓冲器是各自独立的，端口之间不能相互访问存储缓冲器，而只有端口主动进行数据包的发送。另外一个区别就是，基于端口的存储缓冲器一般来说，其容量都是固定的;而基于共享的端口缓冲期，其存储的容量则是根据端口的需求不同，而进行动态分配的。

如现在交换机的一个100M/S的端口需要发送一个数据给10M/S的端口，则此时，共享存储缓冲器就会给其分配足够大的存储器容量，让其能够一次性把数据包都进来，然后再共享存储缓冲器中进行等待，通过10M/S的端口发送出去。

这么做的好处就是可以极大的减少数据丢包的现象。这对于不对称交换机进行正常工作时非常有用的，使得100M/S速度的端口中的包能够被成功发送到10M/S的端口上去，随着计算机及其互联技术（也即通常所谓的“网络技术”）的迅速发展，以太网成为了迄今为止普及率最高的短距离二层计算机网络。而以太网的核心部件就是以太网交换机。

不论是人工交换还是程控交换，都是为了传输语音信号，是需要独占线路的“电路交换”。而以太网是一种计算机网络，需要传输的是数据，因此采用的是“包交换”。但无论采取哪种交换方式，交换机为两点间提供“独享通路”的特性不会改变。

就以太网设备而言，交换机和集线器的本质区别就在于：当A发信息给B时，如果通过集线器，则接入集线器的所有网络节点都会收到这条信息（也就是以广播形式发送），只是网卡在硬件层面就会过滤掉不是发给本机的信息；而如果通过交换机，除非A通知交换机广播，否则发给B的信息C绝不会收到（获取交换机控制权限从而监听的情况除外）。

目前，以太网交换机厂商根据市场需求，推出了三层甚至四层交换机。但无论如何，其核心功能仍是二层的以太网数据包交换，只是带有了一定的处理IP层甚至更高层数据包的能力。

篇5：怎样打造第三层交换机的VLAN技术

VLAN 作为一种新一代的网络技术，它的出现为解决网络站点的灵活配置和网络安全性等问题提供了良好的手段，下面就像大家讲解下第三层交换机更新VLAN技术，

过滤服务功能用来设定界限，以限制不同的VLAN 的成员之间和使用单个MAC 地址和组MAC 地址的不同协议之间进行帧的转发。帧过滤依赖于一定的规则，交换机根据这些规则来决定是转发还是丢弃相应的帧。

早期的802.1d 标准（1993 ），定义的基本过滤服务规定，交换机必须广播所有的组MAC 地址的包到所有的端口。新的802.1d 标准（）定义的扩展过滤服务规定，对组MAC 地址的包也可以进行过滤，对于交换机的外连端口要过滤掉所有的组播地址包。

如果没有设置静态的或者动态的过滤条件，交换机将采用缺省的过滤条件。扩展过滤服务功能使用GMRP(Group Multicast Registration Protocol) ,通过产生、删除一个组或者组成员，来控制交换机的动态组转发和组过滤。

交换机和工作站使用GMRP 来申明他们是否愿意接收一个组MAC 地址的帧。GMRP 协议在网上的交换机之间传波这样的组信息，使得交换机能够更新它们的过滤信息以实现扩展服务功能。

交换机在不做任何配置的情况下，就具有过滤服务和扩展过滤服务功能。对旧的交换机、集线器、路由器，由于它不支持动态的组播地址过滤，因而在与它们连接的相应端口要进行扩展过滤配置。

交换机根据过滤数据库来进行帧的过滤，交换机可以通过动态学习和手工配置两种方式来维护过滤数据库。交换机检查过滤数据库，根据以下条件来决定某个MAC 地址或者某个VLAN 标识的包是否应该转发到某一个端口：

在第二层，可以支持基于端口的VLAN 和基于MAC 地址的VLAN 。基于端口的VLAN 可以快速的划分单个交换机上的冲突域，基于MAC 地址的VLAN 可以支持笔记本电脑的移动应用。

第三层交换机的第三层VLAN ，不仅可以手工配置，也可以由交换机自动产生。交换机通过对数据包的分析后，自动配置VLAN ，自动更新VLAN 的成员。第三层交换机能够工作在以DHCP(Dynamic Host Control Protocol)分配IP 地址的网络环境中，

交换机能自动发现IP 地址，动态产生基于IP 子网的VLAN ，当通过DHCP 分配一个新的IP 地址时，第三层交换机能很快的定位这个地址。第三层交换机通过IGMP 、GMRP 、ARP 和包探测技术来更新其三层的VLAN 成员组。通过基于Web 的网络管理界面，可以对自动学习的范围进行设定：自动学习可以是完全不受限、部分受限或者完全禁止。

VLAN 通过对发送和过滤的限制提高了网络的性能。第三层交换机通过侦听来更新VLAN 成员表，根据数据包头的成员信息来做出转发或过滤决定。下面是交换机处理VLAN 的几个过程。

数据帧入站：

交换机根据入站数据帧的VLAN 标识号（VID ）将它们分类，无标号的为一类，标号相同的为一类。交换机根据VID 来决定转发或者丢弃一个数据包，同时交换机也可以分配一个VID 给一个无标记帧或者贴了优先级标记的帧。

VLAN 标记：

如果一个数据帧没有标记VID ，交换机将会分配一个VID 给它，并把这个VID 插到它的帧头中，这个过程叫做贴VLAN 标签。交换机通过这个过程来处理包的转发，来填写数据帧的VLAN 或者优先级信息的标记字段。

管理员可以设置优先级别来选择VLAN 类型，选择VID 值。交换机的缺省设置，首先选择的是贴IP 子网信息，然后是网络协议，然后是MAC 地址，然后是数据帧入站的端口。

为防止计算机网络中信息传输出现拥挤而采取的一种措施。流量控制可在网络的多个层次上实现。例如在TCP/IP 网络环境中，可在第三层即网络层上用ICMP 协议采用抑制信源的办法实现流量控制。

该机制是在点到点链路上的两个站之间建立的。如果接收站端拥塞，那么它可以将一个叫做“暂停帧”的帧发回连接另一端的始发站点，指示始发站点在某一具体时段停止发送数据包。

在发送更多的数据之前，发送站要等待这种请求时间。接收站还能够以零等待时间将一个帧发回始发站点，指示始发站点再次开始发送数据。更复杂的办法可以连续改变发送频率，例如在网络第四层即传输层上采用的窗口机制就属于这种流量控制方法。

篇6：交换机安全防范技术（下）(一)

流量及端口限速控制技术

为了防止因大流量数据传输引起的端口阻塞，消除恶意用户或者中毒用户对网络的影响，可以采用流量及端口限速控制技术，

配置端口流量阈值

flow-constrain time-value flow-value { bps | pps } flow-constrain method { shutdown | trap }

流量监管

端口限速

端口限速就是基于端口的速率限制，它对端口输出报文的总速率进行限制。

TCP属性及CPU负载控制技术

扫描、蠕虫病毒等都会引起过多TCP连接，CPU负载过重与此也有关系，适当地调整交换机的TCP属性和送达CPU的报文，可以有效地降低CPU负载。

配置TCP 属性

tcp timer syn-timeout time-value

tcp timer fin-timeout time-value

面向连接Socket的接收和发送缓冲区的大小：范围为1～32K字节，缺省值为4K字节：

tcp window window-size

配置特殊IP报文是否送CPU处理

undo ip { redirects | ttl-expires | unreachables }

ARP技术

免费ARP技术通过对外发送免费ARP报文，防止通过各种ARP欺骗手段产生的攻击。

动态ARP老化定时器

arp timer aging aging-time

免费ARP技术

免费ARP功能：网络中设备可以通过发送免费ARP报文来确定其他设备的IP地址是否与自己冲突，

arp send-gratuitous enable gratuitous-arp-learning enable

登录和访问交换机控制技术

设置口令

为防止未授权用户的非法侵入，必须在不同登录和访问的用户界面（AUX用户界面用于通过Console口对以太网交换机进行访问，VTY用户界面用于通过Telnet对以太网交换机进行访问）设置口令，包括容易忽略的SNMP的访问口令（一定不要用“public”的默认口令）和Boot Menu口令，同时设置登录和访问的默认级别和切换口令。

在不同登录和访问的用户界面，使用如下命令设置口令：

authentication-mode passwordset authentication password { cipher | simple } password

配置ACL对登录用户进行过滤

配置举例及步骤：仅允许来自10.10.1.66和10.10.1.78的TELNET用户访问交换机：

# 定义基本访问控制列表。 acl number match-order config rule 1 permit source 10.10.1.66 0 rule 2 permit source 10.10.1.78 0 quit# 引用访问控制列表。 user-interface vty 0 4 acl 2008 inbound

镜像技术

mirroring-group groupId { inbound | outbound } mirroring-port-list &<1-8>mirrored-to mornitor-port

篇7：五种主流身份认证技术解析安全方案

用户名/密码方式

用户名/密码是最简单也是最常用的身份认证方法，它是基于“what you know”的验证手段，每个用户的密码是由这个用户自己设定的，只有他自己才知道，因此只要能够正确输入密码，计算机就认为他就是这个用户。

然而实际上，由于许多用户为了防止忘记密码，经常会采用容易被他人猜到的有意义的字符串作为密码，这存在着许多安全隐患，极易造成密码泄露。即使能保证用户密码不被泄漏，由于密码是静态的数据，并且在验证过程中，需要在计算机内存中和网络中传输，而每次验证过程使用的验证信息都是相同的，很容易被驻留在计算机内存中的木马程序或网络中的监听设备截获。因此用户名/密码方式是一种极不安全的身份认证方式。

IC卡认证

IC卡是一种内置了集成电路的卡片，卡片中存有与用户身份相关的数据，可以认为是不可复制的硬件。IC卡由合法用户随身携带，登录时必须将IC卡插入专用的读卡器中读取其中的信息，以验证用户的身份。IC卡认证是基于“what you have”的手段，通过IC卡硬件的不可复制性来保证用户身份不会被仿冒。

然而由于每次从IC卡中读取的数据还是静态的，通过内存扫描或网络监听等技术还是很容易能截取到用户的身份验证信息。因此，静态验证的方式还是存在着根本的安全隐患。

动态口令

动态口令技术是一种让用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次的技术。它采用一种称之为动态令牌的专用硬件，密码生成芯片运行专门的密码算法，根据当前时间或使用次数生成当前密码。用户使用时只需要将动态令牌上显示的当前密码输入客户端计算机，即可实现身份的确认。

由于每次使用的密码必须由动态令牌来产生，只有合法用户才持有该硬件，所以只要密码验证通过就可以认为该用户的身份是可靠的。而动态口令技术采用一次一密的方法，也有效地保证了用户身份的安全性，

但是如果客户端硬件与服务器端程序的时间或次数不能保持良好的同步，就可能发生合法用户无法登录的问题，这使得用户的使用非常不方便。

生物特征认证

生物特征认证是指采用每个人独一无二的生物特征来验证用户身份的技术，常见的有指纹识别、虹膜识别等。从理论上说，生物特征认证是最可靠的身份认证方式，因为它直接使用人的物理特征来表示每一个人的数字身份，几乎不可能被仿冒。

不过，生物特征认证是基于生物特征识别技术的，受到现在的生物特征识别技术成熟度的影响，采用生物特征认证还具有较大的局限性：首先，生物特征识别的准确性和稳定性还有待提高；其次，由于研发投入较大而产量较小的原因，生物特征认证系统的成本非常高。

USB Key认证

基于USB Key的身份认证方式是一种方便、安全、经济的身份认证技术，它采用软硬件相结合、一次一密的强双因子认证模式，很好地解决了安全性与易用性之间的矛盾。