確保園區網設備的安全性,與設計一個具有高可用性的網絡同樣重要。如果安全性出現漏洞,就會嚴重威脅至公司業務的正常動作。
大多數行業或企業對於安全性所關注的都是來自企業外部的***,以及針對OSI模型上層展開的***。網絡安全性通常專注在邊緣路由設備上,並且基於第三、四層頭部、端口、狀態化數據包檢測等方式實施數據包過濾。常常會忽略園區網接入層設備和二層通信安全。
據數據統計顯示,80%的安全***源自於內部***,因此,園區網接入設備的安全不得不認真考慮。
常見的二層安全***爲爲MAC層***、VLAN***、欺騙***和交換機設備***四類,詳細***分類和***方法如下表如示。
***分類 | ***方法 | ***描述 | 抵禦措施 |
MAC層*** | 具有唯一且無效源MAC地址的數據幀向交換機泛洪,消耗完交換機的CAM表空間,從而阻止合法主機的MAC地址生成新條目,去往無效主機的流量會向所有端口泛洪 | 端口安全 MAC地址VLAN訪問控制列表 | |
VLAN*** | VLAN跳轉 | 通過改變Trunk鏈路中封裝的數據包的VLAN ID,***設備可以發送或接收不同VLAN中的數據包,而繞過三層安全機制 | 加強Trunk的配置和未使用端口的協商狀態。 把未使用的端口放入公共VLAN |
公共VLAN設備 之間的*** | 即使是公共VLAN中的設備,也需要逐一進行保護,尤其是在爲多個客戶提供設備的服務提供商網段中 | 實施私有VLAN(PVLAN) | |
欺騙*** | DHCP耗竭和 DHCP欺騙 | ***設備可以在一段時間內,消耗完DHCP服務器上的可用地址空間,或者在中間人***中,把自己僞裝成DHCP服務器 | DHCP偵聽 |
生成樹欺騙 | ***設備僞裝成STP拓撲中的根網橋。若成功了,***者就可以看到各種數據幀 | 主動配置主用和備用根設備 啓用根防護 | |
MAC欺騙 | ***設備僞裝成當前CAM表中合法設備的MAC地址,這樣交換機就會把去往合法設備的數據幀發到***設備上。 | DHCP偵聽 端口安全 | |
ARP欺騙 | ***設備故意爲合法主機僞造ARP應答。***設備的MAC地址就會成爲該合法網絡設備所發出的數據幀的二層目的地址。 | 動態ARP檢測 DHCP偵聽 端口安全 | |
交換機設備安全 | CDP修改 | 通過CDP發送的信息是明文形式且未加密,若***者截獲CDP消息,就可以獲得整個網絡拓撲信息 | 在所有無意使用的端口上禁用CDP |
SSH和 Telnet*** | Telnet數據包可以以明文形式查看 SSH可以對數據包進行保護,但版本1中仍存在安全問題 | 使用SSH版本2 使用Telnet結合VTY ACL |
安全防範措施一般應用於園區網絡的分佈層和接入層,核心層負責交換數據包,交換速度越快越好,如提供安全×××將會降低數據包的交換速度,建議不要在網絡核心層運用安全措施。