深入分析配置杜绝交换机免受恶意攻击

　　与路由器不同，交换机的安全威胁主要来自局域网内部。出于无知、好奇，甚至是恶意，某些局域网用户会对交换机进行攻击。不管他们的动机是什么，这都是管理员们不愿看到的。为此，除了在规定、制度上进行规范外，管理员们要从技术上做好部署，让攻击者无功而返。本文以Cisco交换机的安全部署为例，和大家分享自己的经验。
　　1、细节设置，确保交换机接入安全
　　(1).配置加密密码
　　尽可能使用Enable Secret特权加密密码，而不使用Enable Password创建的密码。
　　(2).禁用不必要或不安全的服务
　　在交换机上尤其是三层交换机上，不同的厂商默认开启了不同的服务、特性以及协议。为提高安全，应只开启必须的部分，多余的任何东西都可能成为安全漏洞。可结合实际需求，打开某些必要的服务或是关闭一些不必要的服务。下面这些服务通常我们可以直接将其禁用。
　　禁用Http Server
　　no ip http server
　　禁用IP源路由，防止路由欺骗
　　no ip source route
　　禁用Finger服务
　　no service finger
　　禁用Config服务
　　no service config
　　禁用Hootp服务
　　no iP hootp server
　　禁用小的UDP服务
　　no service udp-small-s
　　禁用小的TCP服务
　　no service tcp-small-s
　　(3).控制台和虚拟终端的安全部署
　　在控制台上使用与虚拟终端(Vty)线路上配置认证，另外，还需要对Vty线路使用简
　　单的访问控制列表。
　　Switch(config)#access-list 1 permit 192.168.1.1
　　Switch(config)#line vty 0 4
　　Switch(config-line)#access-class 1 in
　　(4).用SSH代替Telnet
　　Telnet是管理员们连接至交换机的主要通道，但是在Telnet会话中输入的每个字节都将会被明文发送，这可以被类似Sniffer这样的软件嗅探获取用户名、密码等敏感信息。因此，使用安全性能更高的SSH强加密无疑比使用Telnet更加安全。
　　Switch(config)#hostname test-ssh
　　test-ssh(config)#ip domain-name net.ctocio.com
　　test-ssh(config)#username test password 0 test
　　test-ssh(config)#line vty 0 4
　　test-ssh(config-line)#login local
　　test-ssh(config)#crypto key generate rsaThe name for the keys will be:test-ssh.net.ctocio.com
　　test-ssh(config)#ip ssh time-out 180
　　test-ssh(config)#ip ssh authentication-retries 5
　　简单说明，通过上述配置将交换机命名为test-ssh，域名为net.ctocio.com，创建了一个命名test密码为test的用户，设置ssh的关键字名为test-ssh.net.ctocio.com，ssh超时为180秒，最大连接次数为5次。
　　(5).禁用所有未用的端口
　　关于这一点，笔者见过一个案例：某单位有某员工“不小心” 将交换机两个端口用网线直接连接，(典型的用户无知行为)，于是整个交换机的配置数据被清除了。在此，笔者强烈建议广大同仁一定要将未使用的端口 ShutDown掉。并且，此方法也能在一定程度上防范恶意用户连接此端口并协商中继模式。
　　(6).确保STP的安全
　　保护生成树协议，主要是防范其他分公司在新加入一台交换机时，因各单位网络管理员不一定清楚完整的网络拓扑，配置错误使得新交换机成为根网桥，带来意外的BPDU。因此，需要核心管理员启用根防护与BPDU防护。
　　默认情况下交换机端口禁用根防护，要启用它需要使用以下命令：
　　Switch(config)#spanning-tree guard root
　　默认情况下，交换机端口也禁用BPDU防护。启用它需使用下列命令：
　　Switch(config)#Spanning-tree Portfast bpduguard default
　　如果要在所有端口上启用BPDU防护，可使用下面的命令：
　　Switch(config)#Spanning-tree Portfast bpduguard enable　　实现IP-over-ATM要求一种灵活的网络策略，这种策略要适应未来的变化，使在变化中的企业不中断或替换业已存在的关键基础设施。我们向企业倡导采用分层结构，将独立于厂商的开放标准作为把这种变化带来的影响限制在局部范围内的一种方法。成功的IP-over-ATM实现采用三层结构。
　　1、服务(IP路由)。为了及时提供服务，服务层应该具有可扩展性。指配、计费和核算是服务层的关键责任。
　　2、交换(ATM基础设施)。交换层处理服务传送和流量工程。它必须能够提供多种服务，优化带宽利用率，并且能够迅速从网络故障状态恢复。
　　3、传输(SONET或SDH)。传输层激活光纤，提供企业用于支持用户带宽需求所需的容量。最佳服务采用WDM、SONET/SDH、点到点帧技术，并且提供故障恢复能力，如自动保护交换(APS)。
　　4、这种功能方案对服务运营商有两种优势。首先采用一个独立的服务层允许在不中断网络的情况下灵活地引入新业务网关。其次，分层允许运营商对新技术投资。譬如，它允许用ATM交换替代纯粹基于IP路由器的交换。
　　无论采用什么技术，网络必须具有上述每层提供的功能。采纳的传送技术可以变化，而且确实在变化，但是在10年内，网络将仍然需要传输、交换和服务功能。随着网络的增长，只要这三层可以分开，企业就可以将三层功能集中在一个产品中；如果不能分开，任何升级都要求进行完整的软件替换(这样做比替换单独部件要贵得多)，而且可能会中断网络运行，影响一致可用性。
　　通过流量工程实现网络最大利用率
　　在流量工程中，网络设计者们映射端到端业务流，将网络容量与这些流匹配，并且针对不同的服务类型和组别分配政策。流量工程是公认的ATM强项。另一种选择就是PNNI，它是一种支持交换型虚电路(SVC)请求动态路由选择的交换机至交换机协议。ATMPNNI协议解决在网络核心处流量不受控而出现的链路利用率不平衡问题。
　　在B和C之间有两条通路，B-C和B-A-C。程序控制的路由协议选择最低成本链路作为主通路，在这种情况下，最低成本链路为B-C。在1-6和2-5之间存在大量流量，它们选择主链路作为连接路线。其结果是对B-C通路资源进行激烈竞争，而B-A-C通路利用率不足。最终结果是低吞吐量、高延迟和对服务运营商带宽投资的低回报率。
　　在基于PVC的ATM核心网中，如果端点确定，连接通过在链路上疏导流量实现网络容量优化。
　　许多ISP已经采用ATM交换机部署交换式核心网络。通过采用脱机通路计算，流量工程师在ATM网上采用永久虚连接(PVC)配置明确的端到端路由，并且在路由器上将IP流映射至PVC。连接设备在链路上疏导流量，优化网络容量。在我们的流量例子中，用ATM交换机替换核心路由器允许网络采用B-A-C通路上的可用容量。展示通过B-A-C通路指配1-6之间业务量的一个连接，这样网络可以在不增加链路或交换机的情况下缓解拥塞。
　　虽然PVC核心有提供ATM流量工程的所有优点，但它存在服务指配的缺陷。IP路由器和ATM交换机必须分别进行指配。所有PVC都必须进行端到端指配(在一个大型网络中这是一件很重要的工作)，而且替换PVC必须在路由器之间进行指配，这样就使网络所需的连接数翻番。另外一个缺陷就是路由器要负责失效恢复，这将导致长恢复时间。
　　采用容量感知型路由配置ATM核心网络
　　上述缺陷对服务运营商而言是一种难以摆脱的劣势，FORE公司采用两种不同的方法克服这些问题：
　　1、指导型软PVC(D-SPVC)允许网络管理员保持对流的控制。此外，通过切换至指定的替换通路，它还增加了快速恢复能力。
　　2、容量感知型路由引入一种真正动态的、无控制的SPVC，它根据网络的自身状态进行路由选择。
　　利用DSPVC，网络工程师为每个IP流挑选明确的端到端主通路和最多三条从通路。与PVC配置类似，这些通路在与路由器连接的ATM交换机端口上分配有PVC标识符，而IP流在路由器上映射为PVC。与PVC配置不同的是，ATM交换机采用PNNI信令沿着主通路完成端到端连接。
　　 容量感知型路由通过PNNI实现，它采用非指导型自动路由选择。在这种方式中，网管员只须指配端点，并且为每个连接分配容量。然后，交换机在其间自动选择最佳通路。
　　利用容量感知型路由，我们将QoS置入网络。网管员可以识别端到端流的服务需求(需要的带宽、服务级别、优先级、延迟容限)。
　　采用MPLS将IP路由与流量工程合一
　　MPLS的目标之一就是在服务和交换层之间提供直接通信，因此在网络服务如何指配方面进行了巨大的改进。
　　容量感知型路由也有它的局限：即IP和ATM协议相互不能直接通信。这就造成交换机和路由器要分别指配，而且容量感知型路由的优势只能隔离在交换核心网。MPLS提供服务至交换层的直接通信方式，它可以取消两级指配，令在路由器位置的网络管理者可以指配服务和识别端点，极大地简化了配置。此外，MPLS还提供服务和交换层之间的接口，使网管员可以对路由器进行指配服务，而且可以为整个网络进行指配。
　　在现有网络设备上，用户可以实现经济有效的过渡：您今天就可以利用目前最佳的高容量网络，即由容量感知型路由改进的、由PNNI驱动的IPoverATM。然后，随着MPLS的普及，您通过软件升级向纯MPLS过渡，这种过渡的成本比修改基础设施要低。
　　通过在源和目的路由器之间开通一个单跳隧道，MPLS实现了回避邻接要求和改善路由器效率，即增加了吞吐量又减少了开销。
　　开发高速传输层
　　传输层完成大量的网络功能：最大限度地提供容量，提供可靠的点到点传递，针对网络范围的同步服务确保正确定时，并且保证故障检测和恢复。为业务量保持同步所需的许多进程都发生在传输层，这些进程提升每条光纤的传输容量和传输效率，其中技术包括自动保护交换(APS)，为优化数据业务量传送而进行的帧/ATM转换，为在相同的光纤上传递更多业务量而发明的密集波分复用DWDM。
　　APS保障服务可用性
　　自动保护交换(APS)是SONET的一部分，它向光信号提供两条通路：工作通路和备用通路，备用通路是一种保护设施。该保护设施对在工作通路上传输的所有内容进行镜像，如果工作通路的任何一端出现失效，保护设施立即投入使用。
　　 通过采用冗余负荷电源，可选的冗余交换机控制处理器和使用APS的端口级冗余，FORE公司在ForeRunnerASX4000交换机中采用了APS确保上述级别的可用性。它允许在服务中进行软件升级或无中断时间的维护。例如，在其“30/10”配置中，ASX4000可以配置为一个30Gbps的交换机，并且采用一个传统的冗余物理链路和交换机端口对10Gbps进行完全保护，而另外20Gbps采用动态保护交换进行配置。这种方法向服务运营商提供最佳组合，即在同一交换机上提供网络层弹性的同时，也提供传统的冗余性。
　　帧/ATM优化链路效率
　　ATM采用53字节信元，其中只有48字节为用户数据，除48字节之外的其他字节称之为ATM信元税，即使信元能够在ATM网络上传递的开销。这种开销最多可以消耗15％的网络可用带宽。然而优点是，小信元处理速度快，受延时影响小，使之成为传送话音和视频服务的理想选择。在大多数服务网中，ATM的多服务和带宽管理能力带来的好处大大超越了ATM信元税的代价。然而，在线路成本十分重要的地方，如跨洲或越洋链路，信元税的费用将会增加。
　　针对这种情况，有一种数据传输解决方案现已出台：即帧/ATM方案，它采用可变大小的信元，并且采用帧中继模型。通过采用与53字节信元相同的开销发送更大的净荷，帧/ATM方案减少了信元税。譬如，当只有一个端口作为一个特殊目的地时，采用更大的帧可以在资源受限的情况下将数据移动得更快一些。
　　DWDM减少传输成本
　　DWDM技术能够在一根光纤上提供非常高的传输容量，因此，通过现有的基础设施，服务运营商可以满足因特网业务量导致的日益增长的容量需求。我们已经将DWDM传输技术融入ASX4000交换机中，采用DWDM将动态提升现有基础设施的传输容量。ASX4000交换机可以在一根光纤上提供10Gbps的总容量，即OC192的等价速率。WDM接口采用ITU标准波长，保证与其他标准DWDM设备的互操作性。采用标准的ITU波长也使将来轻松升级为更高密度的WDM成为可能