掌握交換機設定秘籍守護網絡安全

SNMPv3安全參數界面

SNMPv3建議的安全模型是基于用戶的安全模型，即USM。USM對網管消息進行加密和認證是基于用戶進行的，具體地說就是用什么協議和密鑰進行加密和認證均由用戶名稱userName)權威引擎標識符(EngineID)來決定(推薦加密協議CBCDES，認證協議HMAC-MD5-96和HMAC-SHA-96)，通過認證、加密和時限提供數據完整性、數據源認證、數據保密和消息時限服務，從而有效防止非授權用戶對管理信息的修改、偽裝和竊聽。

但SNMP也存在著一定的問題，它使用嵌入到網絡設施中的代理軟件來收集網絡通信信息和有關網絡設備的統計數據，代理不斷地收集統計數據并記錄到MIB中，網絡管理人員通過向代理的MIB發出查詢信號(輪詢)可以得到這些信息。雖然MIB計數器將統計數據的總和記錄下來了，但它無法對日常通信量進行歷史分析。而為了能全面地查看通信流量和變化率，管理人員必須不斷地輪詢SNMP代理，這就帶來了巨大的工作量。

這時SNMP建立在輪詢管理上的兩個明顯弱點便顯現出來，如在大型的網絡中，輪詢會產生巨大的網絡管理通信量，因而導致通信擁擠情況的發生;它將收集數據的負擔加在網絡管理控制臺上，管理站也許能輕松地收集8個網段的信息，但當它們監控48個網段時恐怕就難以應付了。

更為可靠的SSH安全協議

至于通過FTP、POP和Telnet等網絡服務應用的，由于它們都有一個致命的弱點——在網絡上以明文的方式傳送數據、用戶帳號及用戶口令，很容易受到中間人(man-in-the-middle)攻擊方式的攻擊，遭遇口令竊取。但采用SSH進行通訊時，用戶名及口令均進行了加密，可有效防止非法用戶對口令的竊聽，便于網管人員進行遠程的安全網絡管理。

SSH是目前較可靠，專為遠程登錄會話和其他網絡服務提供安全性的協議。利用SSH協議可以有效防止遠程管理過程中的信息泄露問題。透過SSH可以對所有傳輸的數據進行加密，也能夠防止DNS欺騙和IP欺騙。

SSH之另一項優點為其傳輸的數據是經過壓縮的，所以可以加快傳輸的速度。SSH有很多功能，它既可以代替Telnet，又可以為FTP、POP、甚至為PPP提供一個安全的“通道”。

秘籍四：掌握syslog和watchdog

系統日志syslog

對于交換機的安全設置，不可缺少的是關于syslog日志功能的利用。該功能可以將系統錯誤、系統配置、狀態變化、狀態定期報告、系統退出等用戶設定的期望信息傳送給日志服務器，網管人員依據這些信息掌握設備的運行狀況，及早發現問題，及時進行配置設定和排障，保障網絡安全穩定地運行。

系統日志syslog界面

syslog常被稱為系統日志或系統記錄，是一種用來在網際網路協議(TCP/IP)的網路中傳遞記錄檔訊息的標準。syslog協議屬于一種主從式協議，syslog發送端會傳送出一個小的文字訊息(小于1024位元組)到syslog接收端。接收端通常名為“syslogd”、“syslog daemon”或syslog服務器。

系統日志訊息可以被以UDP協議或TCP協議來傳送，并且是以明碼型態被傳送的。不過由于SSL加密外套(例如Stunnel、sslio或sslwrap等)并非syslog協議本身的一部分，因此可以被用來透過SSL/TLS方式提供一層加密。

syslog通常被用于資訊系統管理及資料審核，雖然它有不少缺陷，但仍獲得相當多裝置及各種平臺終端的支持。因此syslog能被用來將來自許多不同類型系統的日志記錄整合到集中的儲存庫中。

設定watchdog

watchdog通過設定一個計時器，如果設定的時間間隔內計時器沒有重啟，則生成一個內在CPU重啟指令，使設備重新啟動，這一功能可使交換機在緊急故障或意外情況下時可智能自動重啟，保障網絡的安全運行。

硬件watchdog比軟件watchdog有更好的可靠性。軟件watchdog基于內核的定時器實現，當內核或中斷出現異常時，軟件watchdog將會失效。而硬件watchdog由自身的硬件電路控制， 獨立于內核。無論當前系統狀態如何，硬件watchdog在設定的時間間隔內沒有被執行寫操作，仍會重新啟動系統。

秘籍五：查看是否可通過雙鏡像文件恢復

現在一些新型的交換機已經具備了雙映像文件，這一功能可保護設備在異常情況下(固件升級失敗等)仍然可正常啟動運行。

交換機文件系統分majoy和mirror兩部分進行保存，如果一個文件系統損害或中斷，另外一個文件系統會將其重寫，如果兩個文件系統都損害，則設備會清除兩個文件系統并重寫為出廠時默認設置，確保系統安全啟動運行。

秘籍六：限制流量控制

通過交換機的流量控制功能，可以把流經端口的異常流量限制在一定的范圍內。

例如，思科交換機具有基于端口的流量控制功能，能夠實現風暴控制、端口保護和端口安全。

風暴控制能夠緩解單播、廣播或組播包導致的網絡變慢，通過對不同種類流量設定一個閾值，交換機在端口流量達到設定值時啟動流量控制功能甚至將端口宕掉。

端口保護類似于端口隔離，設置了端口保護功能的端口之間不交換任何流量。

端口安全是對未經許可的地址進行端口級的訪問限制?，F在華為交換機也提供流量控制和廣播風暴抑制比等端口控制功能。

流量控制功能用于交換機與交換機之間在發生擁塞時通知對方暫時停止發送數據包，以避免報文丟失。廣播風暴抑制可以限制廣播流量的大小，對超過設定值的廣播流量進行丟棄處理。

不過，交換機的流量控制功能只能對經過端口的各類流量進行簡單的速率限制，將廣播、組播的異常流量限制在一定的范圍內，而無法區分哪些是正常流量，哪些是異常流量。同時，如何設定一個合適的閾值也比較困難。如果需要對報文做更進一步的控制用戶可以采用ACL(訪問控制列表 )。

ACL利用IP地址、TCP/UDP端口等對進出交換機的報文進行過濾，根據預設條件，對報文做出允許轉發或阻塞的決定。思科和華為的交換機均支持IP ACL和MAC ACL，每種ACL分別支持標準格式和擴展格式。標準格式的ACL根據源地址和上層協議類型進行過濾，擴展格式的ACL根據源地址、目的地址以及上層協議類型進行過濾。