交换机的安全设置六大原则及三层交换的组播配置

 时间:2018-09-25  贡献者:zwxz007

导读:三层交换机组播配置实际示例(1),交换机的安全设置六大原则说明L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。规则设置有两种模式,一种是 MAC 模式, 可根据用户需要依据源 MAC

三层交换机组播配置实际示例(1)
三层交换机组播配置实际示例(1)

交换机的安全设置六大原则说明L2-L4 层过滤 现在的新型交换机大都可以通过建立规则的方式来实现各种过滤需求。

规则设置有两种模式,一种是 MAC 模式, 可根据用户需要依据源 MAC 或目的 MAC 有效实现数据的隔离, 另一种是 IP 模式, 可以通过源 IP、 目的 IP、协议、源应用端口及目的应用端口过滤数据封包;建立好的规则必须附加到相应的接收或传送端 口上,则当交换机此端口接收或转发数据时,根据过滤规则来过滤封包,决定是转发还是丢弃。

另外,交 换机通 过硬件“逻辑与非门”对过滤规则进行逻辑运算,实现过滤规则确定,完全不影响数据转发速率。

802.1X 基于端口的访问控制 为了阻止非法用户对局域网的接入, 保障网络的安全性, 基于端口的访问控制协议 802.1X 无论在有线 LAN 或 WLAN 中都得到了广泛应用。

例如华硕最新的 GigaX2024/2048 等新一代交换机产品不仅仅支持 802.1X 的 Local、RADIUS 验证方式,而且支持 802.1X 的 Dynamic VLAN 的接入,即在 VLAN 和 802.1X 的基础上, 持有某用户账号的用户无论在网络内的何处接入, 都会超越原有 802.1Q 下基于端口 VLAN 的限制,始终接入与此账号指定的 VLAN 组内,这一功能不仅为网络内的移动用户对资源的应用提 供了灵活便利,同时又保障了网络资源应用的安全性;另外, GigaX2024/2048 交换机还支持 802.1X 的 Guest VLAN 功能,即在 802.1X 的应用中,如果端口指定了 Guest VLAN 项,此端口下的接入用户 如果认证失败或根本无用户账号的话, 会成为 Guest VLAN 组的成员, 可以享用此组内的相应网络资源, 这一种功能同样可为网络应用的某一些群体开放最低限度的资源,并为整个网络提供了一个最外围的接入 安全。

流量控制(traffic control)交换机的流量控制可以预防因为广播数据包、组播数据包及因目的地址错误的单播数据包数据流量过大造 成交换机带宽的异常负荷,并可提高系统的整体效能,保持网络安全稳定的运行。

SNMP v3 及 SSH 安全网管 SNMP v3 提出全新的体系结构,将各版本的 SNMP 标准集中到一起,进而加强网管安全性。

SNMP v3 建议的安全模型是基于用户的安全模型,即 USM.USM 对网管消息进行加密和认证是基于用户 进行的,具体地说就是用什么协议和密钥进行加密和认证均由用户名称(userNmae)权威引擎标识符 (EngineID)来决定(推荐加密协议 CBCDES,认证协议 HMAC-MD5-96 和 HMAC-SHA-96),通 过认证、加密和时限提供数据完整性、数据源认证、数据保密和消息时限服务,从而有效防止非授权用户 对管理信息的修改、伪装和窃听。

至于通过 Telnet 的远程网络管理,由于 Telnet 服务有一个致命的弱点——它以明文的方式传输用户名 及口令,所以,很容易被别有用心的人窃取口令,受到攻击,但采用 SSH 进行通讯时,用户名及口令均进 行了加密,有效防止了对口令的窃听,便于网管人员进行远程的安全网络管理。

Syslog 和 Watchdog 交换机的 Syslog 日志功能可以将系统错误、系统配置、状态变化、状态定期报告、系统退出等用户设定 的期望信息传送给日志服务器,网管人员依据这些信息掌握设备的运行状况,及早发现问题,及时进行配 置设定和排障,保障网络安全稳定地运行。

Watchdog 通过设定一个计时器,如果设定的时间间隔内计时器没有重启,则生成一个内在 CPU 重启指 令, 使设备重新启动, 这一功能可使交换机在紧急故障或意外情况下时可智能自动重启, 保障网络的运行。

双映像文件 一些最新的交换机, 像 A S U SGigaX2024/2048 还具备双映像文件。

这一功能保护设备在异常情况下 (固件升级失败等)仍然可正常启动运行。

文件系统分 majoy 和 mirror 两部分进行保存,如果一个文件 系统损害或中断,另外一个文件系统会将其重写,如果两个文件系统都损害,则设备会清除两个文件系统 并重写为出厂时默认设置,确保系统安全启动运行。

三层交换机组播配置实例『配置环境参数』1. 组播服务器地址为 192.168.0.10/24,网关为 192.168.0.1/24T-INDENT: 2em">2. 三层交换机 SwitchA 通过上行口 G1/1 连接组播服务器,交换机连接组播服务器 接口 interface vlan 100,地址为 192.168.0.1。

3. vlan10 和 vlan20 下挂两个二层交换机 SwitchB 和 SwitchC,地址为 10.10.10.1/24 和 10.10.20.1/24。

『组网需求』

1:在 SwitchA、SwitchB 和 SwitchC 上运行组播协议,要求 L3 上配置为 IP PIM-SM 模式2:数据配置步骤『PIM-SM 数据流程』PIM-SM(Protocol Independent Multicast,Sparse Mode)即与协议无关的组播稀疏模式,属 于稀疏模式的组播路由协议。

PIM-SM 主要用于组成员分布相对分散、范围较广、大规模的网络。

与密集模式的扩散?剪枝不同,PIM-SM 协议假定所有的主机都不需要接收组播数据包,只有主机明 确指定需要时,PIM-SM 路由器才向它转发组播数据包。

PIM-SM 协议中, 通过设置汇聚点 RP (Rendezvous Point) 和自举路由器 BSR (Bootstrap Router) , 向所有 PIM-SM 路由器通告组播信息,并利用路由器的加入/剪枝信息,建立起基于 RP 的共享树 RPT (RP-rooted shared tree) 。

从而减少了数据报文和控制报文占用的网络带宽, 降低路由器的处理开销。

组播数据沿着共享树流到该组播组成员所在的网段,当数据流量达到一定程度,组播数据流可以切换到基 于源的最短路径树 SPT,以减少网络延迟。

PIM-SM 不依赖于特定的单播路由协议,而是使用现存的单播 路由表进行 RPF 检查。

运行 PIM-SM 协议,需要配置候选 RP 和 BSR,BSR 负责收集候选 RP 发来的信息,并把它们广播 出去。

【SwitchA 相关配置】1. 使能多播路由[SwitchA]multicast routing-enable

2. 创建(进入)vlan100 的虚接口[SwitchA]int vlan 1003. 给 vlan100 的虚接口配置 IP 地址[SwitchA-Vlan-interface100]ip add 192.168.0.1 255.255.255.04. 创建(进入)vlan10 的虚接口[SwitchA]int vlan 105. 给 vlan10 的虚接口配置 IP 地址[SwitchA-Vlan-interface10]ip add 10.10.10.1 255.255.255.06. 在接口上启动 PIM SM[SwitchA-Vlan-interface10]pim SM7. 创建(进入)vlan20 的虚接口

[SwitchA]interface Vlan-interface 208. 给 vlan20 的虚接口配置 IP 地址[SwitchA-Vlan-interface20]ip add 10.10.20.1 255.255.255.09. 在接口上启动 PIM SM[SwitchA-Vlan-interface20]pim SM10.进入 PIM 视图[SwitchA]pim11.配置候选 BSR[SwitchA-pim]c-bsr vlan 100 2412.配置候选 RP[SwitchA-pim]c-rp vlan 100

『PIM-DM 数据流程』PIM-DM(Protocol Independent Multicast,Dense Mode)属于密集模式的组播路由协议。

PIM-DM 适用于小型网络,在这种网络环境下,组播组的成员相对比较密集。

PIM-DM 的工作过程可以概 括为:邻居发现、扩散?剪枝过程、嫁接阶段。

1.使能多播路由[SwitchA]multicast routing-enable2.创建(进入)vlan100 的虚接口[SwitchA]int vlan 1003.给 vlan100 的虚接口配置 IP 地址[SwitchA-Vlan-interface100]ip add 192.168.0.1 255.255.255.04.创建(进入)vlan10 的虚接口[SwitchA]int vlan 10

5.给 vlan10 的虚接口配置 IP 地址[SwitchA-Vlan-interface10]ip add 10.10.10.1 255.255.255.06.在接口上启动 PIM DM[SwitchA-Vlan-interface10]pim DM7.创建(进入)vlan20 的虚接口[SwitchA]interface Vlan-interface 208.给 vlan20 的虚接口配置 IP 地址[SwitchA-Vlan-interface20]ip add 10.10.20.1 255.255.255.09.在接口上启动 PIM DM[SwitchA-Vlan-interface20]pim DM【SwitchB 相关配置】