1.交換機劃分方式
交換方式
1.直通式: 直通方式的以太網交換機可以理解爲在各端口間是縱橫交叉的線路矩陣電話交換機。它在輸入端口檢測到一個數據包時,檢查該包的包頭,獲取包的目的地址,啓動內部的動態查找錶轉換成相應的輸出端口,在輸入與輸出交叉處接通,把數據包直通到相應的端口,實現交換功能。由於不需要存儲,延遲非常小、交換非常快,這是它的優點。它的缺點是,因爲數據包內容並沒有被以太網交換機保存下來,所以無法檢查所傳送的數據包是否有誤,不能提供錯誤檢測能力。由於沒有緩存,不能將具有不同速率的輸入/輸出端口直接接通,而且容易丟包。
2.存儲轉發 :存儲轉發方式是計算機網絡領域應用最爲廣泛的方式。它把輸入端口的數據包先存儲起來,然後進行CRC(循環冗餘碼校驗)檢查,在對錯誤包處理後才取出數據包的目的地址,通過查找錶轉換成輸出端口送出包。正因如此,存儲轉發方式在數據處理時延時大,這是它的不足,但是它可以對進入交換機的數據包進行錯誤檢測,有效地改善網絡性能。尤其重要的是它可以支持不同速度的端口間的轉換,保持高速端口與低速端口間的協同工作。
3. 碎片隔離 這是介於前兩者之間的一種解決方案。它檢查數據包的長度是否夠64個字節,如果小於64字節,說明是假包,則丟棄該包;如果大於64字節,則發送該包。這種方式也不提供數據校驗。它的數據處理速度比存儲轉發方式快,但比直通式慢。
三層交換機
1.直通式: 直通方式的以太網交換機可以理解爲在各端口間是縱橫交叉的線路矩陣電話交換機。它在輸入端口檢測到一個數據包時,檢查該包的包頭,獲取包的目的地址,啓動內部的動態查找錶轉換成相應的輸出端口,在輸入與輸出交叉處接通,把數據包直通到相應的端口,實現交換功能。由於不需要存儲,延遲非常小、交換非常快,這是它的優點。它的缺點是,因爲數據包內容並沒有被以太網交換機保存下來,所以無法檢查所傳送的數據包是否有誤,不能提供錯誤檢測能力。由於沒有緩存,不能將具有不同速率的輸入/輸出端口直接接通,而且容易丟包。
2.存儲轉發 :存儲轉發方式是計算機網絡領域應用最爲廣泛的方式。它把輸入端口的數據包先存儲起來,然後進行CRC(循環冗餘碼校驗)檢查,在對錯誤包處理後才取出數據包的目的地址,通過查找錶轉換成輸出端口送出包。正因如此,存儲轉發方式在數據處理時延時大,這是它的不足,但是它可以對進入交換機的數據包進行錯誤檢測,有效地改善網絡性能。尤其重要的是它可以支持不同速度的端口間的轉換,保持高速端口與低速端口間的協同工作。
3. 碎片隔離 這是介於前兩者之間的一種解決方案。它檢查數據包的長度是否夠64個字節,如果小於64字節,說明是假包,則丟棄該包;如果大於64字節,則發送該包。這種方式也不提供數據校驗。它的數據處理速度比存儲轉發方式快,但比直通式慢。
SNMPv1使用基於團體名進行報文認證
SNMPv2第二版SMI在RFC 2578之中描述,它在SNMP第一版的SMI規格資料型態上進行增加和強化,例如位元串(bit strings)、網絡位址(network addresses)和計數器(counters)
SNMPv3第三版SNMP第三版由RFC 3411-RFC 3418定義,主要增加SNMP在安全性和遠端配置方面的強化
但必須注意的是,禁用SNMP服務會影響服務的發現操作以及利用SNMP獲取設備狀態的端口監視機制。
SNMP背景知識
SNMP開發於九十年代早期,其目的是簡化大型網絡中設備的管理和數據的獲取。許多與網絡有關的軟件包,如HP的Open View和Nortel Networks的Optivity Network Management System,還有Multi Router Traffic Grapher(MRTG)之類的免費軟件,都用SNMP服務來簡化網絡的管理和維護。
由於SNMP的效果實在太好了,所以網絡硬件廠商開始把SNMP加入到它們製造的每一臺設備。今天,各種網絡設備上都可以看到默認啓用的SNMP服務,從交換機到路由器,從防火牆到網絡打印機,無一例外。
僅僅是分佈廣泛還不足以造成威脅,問題是許多廠商安裝的SNMP都採用了默認的通信字符串(例如密碼),這些通信字符串是程序獲取設備信息和修改配置必不可少的。採用默認通信字符串的好處是網絡上的軟件可以直接訪問設備,無需經過複雜的配置。
通信字符串主要包含兩類命令:GET命令,SET命令。GET命令從設備讀取數據,這些數據通常是操作參數,例如連接狀態、接口名稱等。SET命令允許設置設備的某些參數,這類功能一般有限制,例如關閉某個網絡接口、修改路由器參數等功能。但很顯然,GET、SET命令都可能被用於拒絕服務攻擊(DoS)和惡意修改網絡參數。
最常見的默認通信字符串是public(只讀)和private(讀/寫),除此之外還有許多廠商私有的默認通信字符串。幾乎所有運行SNMP的網絡設備上,都可以找到某種形式的默認通信字符串。
SNMP2.0和SNMP1.0的安全機制比較脆弱,通信不加密,所有通信字符串和數據都以明文形式發送。攻擊者一旦捕獲了網絡通信,就可以利用各種嗅探工具直接獲取通信字符串,即使用戶改變了通信字符串的默認值也無濟於事。
近幾年纔出現的SNMP3.0解決了一部分問題。爲保護通信字符串,SNMP3.0使用DES(DataEncryptionStandard)算法加密數據通信;另外,SNMP3.0還能夠用MD5和SHA(SecureHashAlgorithm)技術驗證節點的標識符,從而防止攻擊者冒充管理節點的身份操作網絡。
雖然SNMP3.0出現已經有一段時間了,但目前還沒有廣泛應用。如果設備是2、3年前的產品,很可能根本不支持SNMP3.0;甚至有些較新的設備也只有SNMP2.0或SNMP1.0。
即使設備已經支持SNMP3.0,許多廠商使用的還是標準的通信字符串,這些字符串對黑客組織來說根本不是祕密。因此,雖然SNMP3.0比以前的版本提供了更多的安全特性,如果配置不當,其實際效果仍舊有限。
禁用SNMP
要避免SNMP服務帶來的安全風險,最徹底的辦法是禁用SNMP。如果你沒有用SNMP來管理網絡,那就沒有必要運行它;如果你不清楚是否有必要運行SNMP,很可能實際上不需要。即使你打算以後使用SNMP,只要現在沒有用,也應該先禁用SNMP,直到確實需要使用SNMP時才啓用它。
下面列出瞭如何在常見的平臺上禁用SNMP服務。
■Windows XP和Windows 2000
在XP和Win2K中,右擊“我的電腦”,選擇“管理”。展開“服務和應用程序”、“服務”,從服務的清單中選擇SNMP服務,停止該服務。然後打開服務的“屬性”對話框,將啓動類型改爲“禁用”(按照微軟的默認設置,Win2K/XP默認不安裝SNMP服務,但許多軟件會自動安裝該服務)。
■WindowsNT4.0
選擇“開始”→“設置”,打開服務設置程序,在服務清單中選擇SNMP服務,停止該服務,然後將它的啓動類型改爲禁用。
■Windows9x
打開控制面板的網絡設置程序,在“配置”頁中,從已安裝的組件清單中選擇“MicrosoftSNMP代理”,點擊“刪除”。檢查HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices和HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run註冊鍵,確認不存在snmp.exe。
■Cisco Systems硬件
對於Cisco的網絡硬件,執行“noSNMP-server”命令禁用SNMP服務。如果要檢查SNMP是否關閉,可執行“showSNMP”命令。這些命令只適用於運行CiscoIOS的平臺;對於非IOS的Cisco設備,請參考隨機文檔。
■HP硬件
對於所有使用Jet Direct卡(絕大部分HP網絡打印機都使用它)的HP網絡設備,用telnet連接到Jet Direct卡的IP地址,然後執行下面的命令:
SNMP-config:0
quit
這些命令將關閉設備的SNMP服務。但必須注意的是,禁用SNMP服務會影響服務的發現操作以及利用SNMP獲取設備狀態的端口監視機制。
■RedHatLinux
對於RedHatLinux,可以用Linuxconf工具從自動啓動的服務清單中刪除SNMP,或者直接從/etc/services文件刪除啓動SNMP的行。對於其他Linux系統,操作方法應該也相似。
保障SNMP的安全
如果某些設備確實有必要運行SNMP,則必須保障這些設備的安全。首先要做的是確定哪些設備正在運行SNMP服務。除非定期對整個網絡進行端口掃描,全面掌握各臺機器、設備上運行的服務,否則的話,很有可能遺漏一、二個SNMP服務。特別需要注意的是,網絡交換機、打印機之類的設備同樣也會運行SNMP服務。確定SNMP服務的運行情況後,再採取下面的措施保障服務安全。
■加載SNMP服務的補丁
安裝SNMP服務的補丁,將SNMP服務升級到2.0或更高的版本。聯繫設備的製造商,瞭解有關安全漏洞和升級補丁的情況。
■保護SNMP通信字符串
一個很重要的保護措施是修改所有默認的通信字符串。根據設備文檔的說明,逐一檢查、修改各個標準的、非標準的通信字符串,不要遺漏任何一項,必要時可以聯繫製造商獲取詳細的說明。
■過濾SNMP
另一個可以採用的保護措施是在網絡邊界上過濾SNMP通信和請求,即在防火牆或邊界路由器上,阻塞SNMP請求使用的端口。標準的SNMP服務使用161和162端口,廠商私有的實現一般使用199、391、705和1993端口。禁用這些端口通信後,外部網絡訪問內部網絡的能力就受到了限制;另外,在內部網絡的路由器上,應該編寫一個ACL,只允許某個特定的可信任的SNMP管理系統操作SNMP。例如,下面的ACL只允許來自(或者走向)SNMP管理系統的SNMP通信,限制網絡上的所有其他SNMP通信:
access-list 100 permit iphost w.x.y any
access-list 100 deny udp any any eq snmp
access-list 100 deny udp any any eq snmp trap
access-list 100 permit ip any any
這個ACL的第一行定義了可信任管理系統(w.x.y)。利用下面的命令可以將上述ACL應用到所有網絡接口:
interface serial0
ip access-group 100 in
總之,SNMP的發明代表着網絡管理的一大進步,現在它仍是高效管理大型網絡的有力工具。然而,SNMP的早期版本天生缺乏安全性,即使最新的版本同樣也存在問題。就象網絡上運行的其他服務一樣,SNMP服務的安全性也是不可忽視的。不要盲目地肯定網絡上沒有運行SNMP服務,也許它就躲藏在某個設備上。那些必不可少的網絡服務已經有太多讓人擔憂的安全問題,所以最好關閉SNMP之類並非必需的服務——至少儘量設法保障其安全。
交換機的堆疊與級聯
交換機的堆疊是相對級聯而言的,堆疊和級聯都是擴充交換機端口數量的方法,但是堆疊後的設備理論上還是一臺設備,也就是可以實現統一管理。但是級聯的話是不具備這種功能的。
堆疊可以分爲物理堆疊和虛擬堆疊,前者是專門的堆疊端口,通過堆疊線把交換機連接在一起,可以分爲星型堆疊和環形堆疊;虛擬堆疊不需要專門的堆疊口,交換機一般通過級聯連接在一起,但是可以通過軟件設置實現單IP統一管理。
是不是有點搞不清楚級聯和堆疊。簡單來說,級聯:相當於把一個端口進行擴展成多個端口,擴展的端口總帶寬=級聯口的帶寬;堆疊:相當於往交換機上增加端口,所有增加的端口跟之前的端口共享交換機的背板帶寬。
級聯和堆疊的區別見下表
級聯和堆疊示意圖
級聯交換機連接圖
堆疊交換機連接圖
總結交換機堆疊與級聯的區別,主要有以下六點:
1、對設備要求不同。級聯可通過一根雙絞線在任何網絡設備廠家的交換機之間,或者交換機與集線器之間完成。而堆疊只有在自己廠家的設備之間,並且該交換機必須具有堆疊功能纔可實現。
2、對連接介質要求不同。級聯時只需一根跳線,而堆疊則需要專用的堆疊模塊和堆疊線纜,當然堆疊模塊是需要另外訂購的。
3、最大連接數不同。交換機間的級聯,在理論上沒有級聯數的限制。但是,疊堆內可容納的交換機數量,各廠商都會明確地進行限制。
4、管理方式不同。堆疊後的數臺交換機在邏輯上是一個被網管的設備,可以對所有交換機進行統一的配置與管理。而相互級聯的交換機在邏輯上是各自獨立的,必須依次對其進行配置和管理每臺交換機。
5、設備間連接帶寬不同。多臺交換機級聯時會產生級聯瓶頸,並將導致較大的轉發延遲。例如,4臺百兆位交換機通過跳線級聯時,彼此之間的連接帶寬也是100Mbps。當連接至不同交換機上的計算機之間通信時,也只能通過這條百兆位連接,從而成爲傳輸的瓶頸。同是,隨着轉發次數的增加,網絡延遲也將變得很大。而4臺交換機通過堆疊連接在一起時,堆疊線纜將能提供高於1Gbps的背板帶寬,從而可以實現所有交換機之間的高速連接。儘管級聯時交換機之間可以藉助鏈路匯聚技術來增加帶寬,但是,這是以犧牲可用端口爲代價的。
6、網絡覆蓋範圍不同。交換機可以通過級聯成倍地擴展網絡覆蓋範圍。例如,以雙絞線網絡爲例,一臺交換機所覆蓋的網絡直徑爲100m,2臺交換機級聯所覆蓋的網絡直徑就是300m,而3臺交換機級聯時的直徑就可達400m。而堆疊線纜通常只有0.5~1m,僅僅能夠滿足交換機之間互聯的需要,不會對網絡覆蓋範圍產生影響。
