2.6 安全技术

交换机作为网络通信的枢纽，既决定着网络的性能和效率，也决定着网络的安全和稳定。随着交换机技术的不断发展，交换机变得越来越成熟、越来越聪明、越来越强壮、越来越安全。

2.6.1 基于端口的传输控制

为了有效地保障网络传输安全，交换机内置了许多基于端口的传输控制，内容如下。

■ 广播风暴控制

当端口接收到大量的广播、单播或多播包时，就会发生广播风暴。转发这些包将导致网络速度变慢或超时。借助于对端口的广播风暴控制，可以有效地避免硬件损坏或链路故障而导致的网络瘫痪。默认状态下，广播、多播和单播风暴控制被禁用。

■ 保护端口

保护端口可以确保同一交换机上的端口之间不进行通信。保护端口不向其他保护端口转发任何数据包，包括单播、多播和广播包。传输不能在第二层保护端口间进行，所有保护端口间的传输都必须通过第三层设备转发。保护端口与非保护端口间的传输则不受影响。借助PVLAN可以设置保护端口。

■ 端口安全

端口安全，可以使用端口安全特性来限制进入一个端口的访问，从而避免非授权用户接入网络。可以为端口指定安全的MAC地址，或者指定所允许的最大安全MAC地址数。当将MAC地址绑定至某个端口后，这个端口将不会转发源自其他MAC地址的包。如果限制安全MAC地址的数目为1，并且绑定了唯一的源地址，那么连接在这个端口的主机将独自占有这个端口的全部带宽，如图2-24所示。

2.6.2 Cisco IOS防火墙

Cisco IOS是思科网络设备的操作系统平台，被广泛应用于交换机、路由器、防火墙和无线设备。Cisco IOS防火墙特性集通过在网络基础机构本身内提供安全访问策略，完善了Cisco的端到端安全产品，从而实现了独立设备不能提供的灵活性和控制水准。

■ 基本的和高级的通信过滤

基本的和高级的通信过滤包括：

● 标准和扩展的访问控制列表（Access Control List，ACL）——将访问控制用于特定的网段，并定义哪些通信可以通过一个网段。

● 锁定和密钥动态的ACL——根据用户身份（用户名/口令）授予通过防火墙的暂时访问。

● 基干策略的多端口支持——根据由安全策略决定的IP地址和端口，提供控制用户访问的能力。

● 网络地址转换（Network Address Translation，NAT）——通过对外界隐藏内部地址增强网络保密性；通过启动注册IP地址的保护，降低Internet访问的成本。

● 同级路由器验证——确保路由器从可靠的来源收到路由信息。

● 事件日志记录——通过将系统错误消息输出到一个控制台终端或系统日志服务器、设置严重级并记录其他参数，允许管理员实时跟踪潜在的违法或其他非标准活动。

● 虚拟专用网络（Virtual Private Network，VPN）——利用下列任何协议，通过公共线路（例如Internet）提供安全的数据传输；降低远程分支办事处和外部网的实现及管理成本；增强服务质量和可靠性；提供基干标准的互操作性。

● Cisco加密技术——网络层加密功能，在传输期间防止通过网络窃取或窜改数据。

● IPSec——基干标准的网络层加密，提供数据保密性和验证。

■ 基于上下文的访问控制

基于上下文的访问控制（Context-Based Access Control，CBAC）使管理员能够将防火墙智能实现为一个集成化单框解决方案的一部分。CBAC通过严格审查源和目的地址，增强了使用众所周知端口（例如FTP和电子邮件通信）的TCP和UDP应用程序的安全。

CBAC通过检查整个（数据）包了解应用程序状态信息，给ACL功能增加了智能检查。CBAC利用这种信息创建一个暂时的、对话期特定的ACL入口，从而允许回返通信进入可靠网络。这种暂时的ACL有效地在防火墙中打开了一个大门。当一个对话期结束时，ACL入口被删除，大门关闭。标准和扩展的ACL不能创建暂时的ACL入口，因此，难以确保为回返通信流量选择通道的先进应用程序的安全。

CBAC比目前的ACL解决方案更加安全，因为它根据应用类型决定是否允许一个对话通过防火墙，并决定为回返通信流量是否从多个通道进行选择。之前，管理员仅通过编写ACL基本上使防火墙大门永久敝开，而借助CBAC，可以在需要时打开防火墙大门，并在其他时候关闭大门，从而能够安全地许可多媒体和其他应用通信。

■ Java阻断

随着大量Java小程序可用于Internet，保护网络免受恶意小程序的攻击已经成为网络管理人员的一个主要课题。可以配置JAVA阻断来过滤或完全拒绝对没有嵌入在一个文档或压缩文件中的JAVA小程序的访问。

■ 服务拒绝检测和预防

新近增强的服务拒绝检测和预防可以针对SYN泛滥、端口扫瞄和包注入提供网络防御。服务拒绝检测和预防可以检查TCP连接中的包顺序号。如果这些号码不在预期的范围内，路由器将撤消可疑的包。当路由器检测出新建包，它就发出一条警告信息。它还可以撤销半开的TCP连接状态表，以防止系统资源耗尽。

■ 审计跟踪

增强的审计跟踪利用系统日志来跟踪所有事务；记录时间印迹、来源主机、目的地主机、所用的端口、对话，以及传输的总字节数。

■ 实时告警

一旦查出可疑的活动，实时告警将向中央管理控制台发送系统日志错误信息。网络管理人员有能力立即对入侵作出反应。

2.6.3 IEEE 802.1x认证

在传统的局域网环境中，只要有物理的连接端口，未经授权的网络设备就可以接入局域网，或者通过连接到局域网的设备进入网络，从而给企业造成了潜在的安全威胁。另外，在学校、智能小区等需要计费的网络中，验证用户接入的合法性也非常重要。IEEE 802.1x作为解决这个问题的良药，已经被集成到二层智能交换机中，可用于完成对用户的接入安全审核。

IEEE 802.1x执行基于端口的网络访问控制。基于端口的网络访问控制使用交换的局域网（LAN）基础设施的物理特征来验证连接到LAN端口的设备，并防止访问身份验证进程已经失败的那个端口连接。IEEE 802.1x身份验证用于对有线以太网和无线IEEE 802.11网络进行经过身份验证的网络访问。IEEE 802.1x通过提供对集中式用户标识、身份验证、动态密钥管理和计账的支持来提高安全性和部署。

1. IEEE 802.1x认证元素

在IEEE 802.1x协议中，只有具备了以下三个元素（如图2-25所示）才能够完成基于端口的访问控制的用户认证和授权。

● 客户端。一般安装在用户的工作站上，当用户有上网需求时，激活客户端程序，输入必要的用户名和口令，客户端程序将会送出连接请求。

● 认证系统。在以太网系统中主要是认证交换机，其主要作用是完成用户认证信息的上传、下达工作，并根据认证的结果打开或关闭端口。

● 认证服务器。通过检验客户端发送来的身份标识（用户名和口令）来判别用户是否有权使用网络系统提供的网络服务，并根据认证结果向交换机发出打开或保持端口关闭的状态。

802.1x协议与LAN是无缝融合的。802.1x利用了交换LAN架构的物理特性，实现了LAN端口上的设备认证。在认证过程中，LAN端口要么充当认证者，要么扮演请求者。在作为认证者时，LAN端口在需要用户通过该端口接入相应的服务之前，首先进行认证，若认证失败则不允许接入；在作为请求者时，LAN端口则负责向认证服务器提交接入服务申请。基于端口的MAC锁定只允许信任的MAC地址向网络中发送数据。来自任何“不信任”设备的数据流会被自动丢弃，从而确保最大限度的安全。

2. IEEE 802.1x认证过程

配置IEEE 802.1x基于端口的认证，必须启用认证、授权、计账（Authentication Authorization Accounting，AAA），以及认证方法列表。认证方法列表描述了查询和认证用户的次序与认证方法。

以下是802.1x AAA处理过程。

● 用户连接到交换机端口。

● 执行认证。

● 基于RADIUS服务器的VLAN分配被启用。

● 交换机将开始信息发送至计账服务器。

● 再次执行认证。

● 交换机发送临时计费更新信息到计账服务器。

● 用户从端口断开连接。

● 交换机发送终止信息到计账服务器。