日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

當今社會，網絡已經成為人們傳遞信息的重要工具，隨著網絡的應用越來越廣泛，安全問題就變得日益突出。在網絡中占有重要地位的交換機，不可避免的成為黑客攻擊的重點對象。交換機的核心在于"交換"，因此交換機安全最重要的任務就是能夠正常轉發數據，并保證數據在傳輸過程中不被截獲或者篡改。而交換機的網絡安全主要包括以下三個方面：

保密性：交換機存儲、處理和傳輸的信息，不會被泄露到非授權的用戶、實體或過程。即信息只為授權用戶使用。

完整性：信息未經授權不能進行改變的特性。即網絡信息在交換機存儲或傳輸過程中保持不被偶然或蓄意地刪除、修改、偽造、亂序、重放、插入等行為破壞和丟失的特性。

可用性：在要求的外部資源得到保證的前提下，交換機在規定的條件下和規定的時刻或時間區間,處于可執行規定功能狀態的能力。業務持續可用，滿足電信級服務質量要求。

為了達到這個目的，S交換機的安全從以下三個平面進行了規劃部署。

圖1 S交換機安全規劃部署圖

接入平面

接入平面的安全重點在于確保設備能夠被合法管理，具體指哪些用戶可以登錄設備，登錄到設備上

的用戶又可以進行哪些操作。

如圖1所示，S交換機接入平面的安全主要通過管理員登錄和用戶接入來保證。

管理員登錄就是保證管理員安全的管理設備，交換機通過設置用戶名和密碼、ACL限制用戶登

錄，通過STelnet登錄方式保證管理員登錄過程安全，通過設置用戶的級別控制用戶操作權限。

用戶接入指的是通過對接入用戶進行認證、授權，保證只有合法安全的用戶才能通過交換機接

入網絡。

控制平面

控制平面主要采用CPU實現轉發的控制。CPU就像我們的大腦，指揮著設備各項機能的正常運轉。

CPU的安全是設備和協議正常運行的前提。我們都知道如果電腦打開的程序太多，運行過程中就會

出現卡頓，設備也是一樣的道理。如果上送CPU處理的協議報文過多，CPU就會很繁忙，設備性能就

會下降，業務就會中斷。因此，作為交換機的核心部件，CPU也就成為非法用戶攻擊的對象。

網絡攻擊可能會導致CPU高，但是CPU高并不一定是網絡攻擊引起的，還有可能是硬件故障、網絡震

蕩、網絡環路等原因，本專題僅介紹由網絡攻擊引起的CPU高，其他內容請參見"華為S系列園區交

換機維護寶典"。

為了保證CPU的正常運行，交換機使用默認的CPCAR值對上送的協議報文進行限速。

圖2 CPU防攻擊處理流程

如果經過交換機默認的CPCAR限速后，上送CPU的報文依然超過了CPU可以處理的范圍，CPU利用

率很高，還可以通過以下方式做進一步的處理：

調整CPCAR值：縮小CPCAR值，減少上送CPU的協議報文的數量；

攻擊溯源：對上送CPU的報文進行分析統計，設置檢查閾值，對于超過檢查閾值的報文執行相

應的懲罰措施，如丟棄報文、Shutdown接口、設置黑名單等。

轉發平面

轉發平面的作用就是通過查詢轉發表項指導數據流量正確轉發，因此針對轉發平面的攻擊無外乎兩

種：

1) 耗盡轉發表資源，導致合法用戶的轉發表無法被學習，合法用戶的流量無法被轉發

2) 篡改轉發表，導致合法用戶的流量轉發至錯誤的地方。

那么交換機又是怎么預防這些攻擊的呢？下面基于交換機網絡部署位置，分別講下二層網絡的防攻

擊方法和三層網絡的防攻擊方法。

二層網絡

二層網絡數據轉發的核心是mac表，所有數據流量的轉發都需要查找MAC表，因此MAC表也就

成為非法用戶攻擊二層網絡的主要目標。非法用戶通過發送大量的報文，迅速耗盡MAC表資源，

使報文因查找不到MAC表項進行廣播，從而占用帶寬資源，產生廣播風暴。交換機支持通過MAC

學習控制、DHCP Snooping和風暴抑制等方式來保護MAC表的安全。

三層網絡

三層網絡數據轉發依賴ARP表和路由表。路由表是通過協議協商生成的，因此非法用戶很難對

此進行攻擊。ARP表是通過協議報文生成的，非法用戶可以發送大量的協議報文或者偽造協議

報文使ARP表項出現異常。因此ARP表是交換機在三層網絡中保護的主要對象。交換機支持通過

ARP安全、DAI/EAI、IPSG防止此類攻擊。