热门标签 | HotTags
当前位置:  开发笔记 > 运维 > 正文

网管技巧:基于MAC地址来管控流量

欢迎进入网络技术社区论坛,与200万技术人员互动交流进入现在的企业网络中,到达桌面的网速越来越快。这虽然给用户带来了很好的应用体验,但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意,那么就有可能使得企业的网

欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入 现在的企业网络中,到达桌面的网速越来越快。这虽然给用户带来了很好的应用体验,但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意,那么就有可能使得企业的网

欢迎进入网络技术社区论坛,与200万技术人员互动交流 >>进入

  现在的企业网络中,到达桌面的网速越来越快。这虽然给用户带来了很好的应用体验,但是也带来了很大的安全隐患。如果来自用户的流量(无论是有意的还是无意的)存在着恶意,那么就有可能使得企业的网络发生拥塞或者DOS网络中断等等故障。为此网络管理员在快速以太网时代,更加应该重视桌面访问的安全。最简单地一条安全原则就是只允许授权的用户或者合法的用户可以访问企业的网络,而拒绝其他任何未经授权的访问。在不少的网络设备中,都可以通过MAC地址来管控流量,从而保证企业网络的安全。

  一、通过控制交换机学习MAC地址的数量来管控流量

  在思科的交换机中,有一个很重要的安全特性,即可以基于主机MAC地址而允许流量。通过这种方式,可以在很大程度上提高交换机等网络设备的端口安全。什么叫做基于主机MAC地址允许流量功能呢?简单的说,就是允许单个端口能够允许多少个特定树木的MAC地址。也就是说,在端口的MAC地址表中,允许记录多少个主机MAC地址。如果超过的话,那么交换机就会拒绝转换。通过这种机制就可以有效的保障端口的安全。

  如企业现在有会议室、员工办公室等场所。如果按照普通部署的话,每个交换机的接口都可以学习到很多的MAC地址。如果在以前,各个客户段的网络速度不怎么快,那么也没什么问题。但是如果大多数桌面都实现了快速以太网或者吉比特以太网连接的话,情况就不同了。就算不是员工故意,客户端仍然可能在用户不知情的情况下,被黑客当作肉鸡来使用。此时就可能会给企业网络带来很大的安全隐患。此时笔者建议网络管理员,可以通过“基于主机MAC地址允许流量”的功能来提高端口的安全性。如可以将普通用户端口衔知道1个学到的MAC地址,而将会议室端口限制到20个MAC地址(可以根据参与会议的人员数量来进行适当的调整)。这么设置根本的目的只有一个,就是只允许授权访问的用户采用能够使用企业的网络,拒绝任何未经过授权的用户。

  二、启用规则以及违反规则的处理

  要在思科交换机上启用“基于主机MAC地址允许流量”的功能,相对来说比较简单。如通过命令set port security就可以实现。这个命令可以用来配置每个端口所允许的最大MAC地址数。具体的配置相对来说比较简单,笔者不做过多的阐述。笔者要重点讲解的内容是如果后续用户的流量违背了这个规则,交换机该如何来处理这些流量。笔者再次强调一遍,这个非常的重要。这对企业安全网络的组建、对后续故障的解决,都有很重要的价值。

  首先我们来看看,在什么情况下流量会违背这两个安全原则?通常情况下,存在两种原因。一是未经许可的访问,也就是说安全端口接收到的数据帧是未经管理员授权的;二是当交换机端口已经学习到所允许的最大数目的MAC地址之后,交换机系统又受到了新的数据帧。无论以上任何一种原因,其最终都是触犯了端口的安全规则。最后都会受到一定的“惩罚”。交换机会自动检测。当检测到任何违规的数据帧时,都会及时采取措施以确保企业网络的安全。

  其次我们来分析一下交换机会采取的行为。在任何时刻,交换机检测到以上的违规行为,都可能会采取以下的任何一种措施。一是关闭,即将这个端口永久的或者在某个周期内设置为ERR-DISABLE状态,关闭其数据通信的能力。二是限制,即这个端口仍然将正常的工作,只是将来自未经授权的主机的数据流量丢弃。三是保护,即当交换机端口已经超过所允许学习MAC地址数量的时候,交换机仍然将正常转发数据,而只是将来自新主机的数据帧丢弃。网络管理员选择任何的处理措施。但是选择哪个方式好呢?这也没有统一的答案。通常情况下,需要根据交换机所处的位置来进行选择。如这个交换机所处的位置比较关键,如实一个关键的服务器群组交换机,则最好使用限制选贤,使得服务器操作不受到任何违反规则的影响。相反,如果交换机处在交换层,既是所谓的接入层交换机的话,则最好通过关闭的处理方式,不过需要结合计时器来使用。如此的话,如果用户终端发生意味的非授权移动的时候,交换机会自动进行调整,而不需要稳拿滚落管理员重新建立连接来进行手工干预。如果在那些仅仅基于IOS软件的交换机上,则建议使用保护这种处理策略。

  总之,当用户的数据帧违背了既定的规则之后,还采取什么处理措施呢?这往往没有统一的答案。这主要要根据网络管理员的经验来判断。如果选择的好的话,可以起到事半功倍的效果。相反,如果选择的不合适的话,有可能使搬起石头砸自己的脚。一般来说,网络管理员需要从交换机位置、网络环境、企业对于安全的需要来进行抉择。

  三、启用这个功能的注意事项

  如果需要在基于思科设备的交换网络中,启用“基于主机MAC地址允许流量”安全措施时,需要注意如下内容。

  首先需要注意,思科交换机的型号不同,接口所允许的最大MAC地址数量也有所不同。如对于常见的6500系列的交换机,其就支持多达1025个MAC地址(其中1个默认的MAC地址和1024个常规的MAC地址)。由于交换机型号不同,其所支持的MAC地址数量由比较大的差异。为此在选购交换机的时候,如果需要这个功能,那么就需要考虑这个参数。

  其实需要注意的是,交换机端口所支持的MAC数量不同,其MAC地址分配的方式也有很大的不同。如对于6500系列交换机来说,一般情况下有两种常见的分配方式。一种方式是为其中一个端口分配1025个MAC地址,然后给其他的端口分配一个MAC地址。另一种方式是为某个端口分配201个MAC地址,而为第二个端口分配701个MAC地址,为第三个端口分配125个MAC地址,剩余端口都分配一个MAC地址。至于采取那种分配方式更加合理,这里没有统一的标准答案。通常情况下,都需要网络管理员根据企业网络应用于企业对于安全的需求来确定。

  四、启用“基于主机MAC地址允许流量功能”的最佳步骤

  如何才能够更加有效的使用这个功能呢?根据笔者的管理经验,认为需要如下五个步骤。

  一是评估需要启用端口安全的端口。在实际工作中,并不是需要为所有的端口都启用基于主机MAC地址允许流量功能。如对于一些经常用来做维护工作的端口,则往往不需要启用这个功能。为此在确定需要启用类似端口安全机制之前,需要网络管理员先进行评估。以确定需要以用端口安全技术的端口。

  二是为需要启用端口安全的端口配置动态学习主机MAC地址。在必要的时候还可以配置动态学习MAC地址所持续的时间。通常情况下,可以通过set port security age名来来实现。

  三是制定违背安全的行为。即根据企业的实际情况,如交换机的位置、对于安全的需求等因素,来考虑到底是采取“禁止”措施,还是采取“保护”或者“限制”措施。默认的设置是“永久性关闭”。这是一个比较极端的选项。通常情况下,笔者都建议对其进行更改。

  四是一个可选项,不过是笔者推荐的一个可选项。即如果网络管理员选择“关闭”措施时,那么最好能够同时启用计时器功能。也就是说,设置这个端口关闭多长时间。因为有时候可能用户是无意冒犯这个规则的。所以这个端口不能够永远关闭下去。只要能够保证不会影响到网络的正常使用的前提下,那么仍然可以开放。

  五是追踪。当出现任何一个违背行为时,交换机都会在系统日志中留下踪迹。网络管理员还必须经常的查看日志。如果发现有异常情况时,如有台主机经常违背某个原则时,那么就需要追查这台主机的原因。到底是用户恶意为止还是成为了别人的肉鸡。


推荐阅读
  • Ping 命令的高级用法与技巧
    本文详细介绍了 Ping 命令的各种高级用法和技巧,帮助读者更好地理解和利用这一强大的网络诊断工具。 ... [详细]
  • Cookie学习小结
    Cookie学习小结 ... [详细]
  • 本文将深入探讨 iOS 中的 Grand Central Dispatch (GCD),并介绍如何利用 GCD 进行高效多线程编程。如果你对线程的基本概念还不熟悉,建议先阅读相关基础资料。 ... [详细]
  • 兆芯X86 CPU架构的演进与现状(国产CPU系列)
    本文详细介绍了兆芯X86 CPU架构的发展历程,从公司成立背景到关键技术授权,再到具体芯片架构的演进,全面解析了兆芯在国产CPU领域的贡献与挑战。 ... [详细]
  • 华为捐赠欧拉操作系统,承诺不推商用版
    华为近日宣布将欧拉开源操作系统捐赠给开放原子开源基金会,并承诺不会推出欧拉的商用发行版。此举旨在推动欧拉和鸿蒙操作系统的全场景融合与生态发展。 ... [详细]
  • 2020年9月15日,Oracle正式发布了最新的JDK 15版本。本次更新带来了许多新特性,包括隐藏类、EdDSA签名算法、模式匹配、记录类、封闭类和文本块等。 ... [详细]
  • 高端存储技术演进与趋势
    本文探讨了高端存储技术的发展趋势,包括松耦合架构、虚拟化、高性能、高安全性和智能化等方面。同时,分析了全闪存阵列和中端存储集群对高端存储市场的冲击,以及高端存储在不同应用场景中的发展趋势。 ... [详细]
  • 本文介绍了Spring 2.0引入的TaskExecutor接口及其多种实现,包括同步和异步执行任务的方式。文章详细解释了如何在Spring应用中配置和使用这些线程池实现,以提高应用的性能和可管理性。 ... [详细]
  • EST:西湖大学鞠峰组污水厂病原菌与土著反硝化细菌是多重抗生素耐药基因的活跃表达者...
    点击蓝字关注我们编译:祝新宇校稿:鞠峰、袁凌论文ID原名:PathogenicandIndigenousDenitrifyingBacte ... [详细]
  • 近期,微信公众平台上的HTML5游戏引起了广泛讨论,预示着HTML5游戏将迎来新的发展机遇。磊友科技的赵霏,作为一名HTML5技术的倡导者,分享了他在微信平台上开发HTML5游戏的经验和见解。 ... [详细]
  • 本文详细介绍了MySQL数据库服务器(mysqld)和客户端(mysql)的区别,并提供了多种启动和关闭MySQL服务器的方法。通过这些方法,您可以更好地管理和维护MySQL数据库。 ... [详细]
  • 用阿里云的免费 SSL 证书让网站从 HTTP 换成 HTTPS
    HTTP协议是不加密传输数据的,也就是用户跟你的网站之间传递数据有可能在途中被截获,破解传递的真实内容,所以使用不加密的HTTP的网站是不 ... [详细]
  • 如何在服务器上配置SSL证书
    SSL证书是用于验证互联网上身份的一种数字凭证,通过启用HTTPS协议,确保用户与服务器之间的通信安全。本文将详细介绍如何在API和服务器上配置SSL证书,以提升网站的安全性和可信度。 ... [详细]
  • 解决启动时遇到 'NTLDR is Missing' 错误
    本文详细介绍了如何解决 Windows XP 系统启动时出现的 'NTLDR is Missing' 错误,提供了多种修复方法。 ... [详细]
  • IOS Run loop详解
    为什么80%的码农都做不了架构师?转自http:blog.csdn.netztp800201articledetails9240913感谢作者分享Objecti ... [详细]
author-avatar
勤劳的蛇zhong_138
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有