交换机安全专题全景图

当今社会，网络已经成为人们传递信息的重要工具，随着网络的应用越来越广泛，安全问题就变得日益突出。在网络中占有重要地位的交换机，不可避免的成为黑客攻击的重点对象。交换机的核心在于"交换"，因此交换机安全最重要的任务就是能够正常转发数据，并保证数据在传输过程中不被截获或者篡改。而交换机的网络安全主要包括以下三个方面：

保密性：交换机存储、处理和传输的信息，不会被泄露到非授权的用户、实体或过程。即信息只为授权用户使用。

完整性：信息未经授权不能进行改变的特性。即网络信息在交换机存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等行为破坏和丢失的特性。

可用性：在要求的外部资源得到保证的前提下，交换机在规定的条件下和规定的时刻或时间区间,处于可执行规定功能状态的能力。业务持续可用，满足电信级服务质量要求。

为了达到这个目的，S交换机的安全从以下三个平面进行了规划部署。

图1 S交换机安全规划部署图

接入平面

接入平面的安全重点在于确保设备能够被合法管理，具体指哪些用户可以登录设备，登录到设备上

的用户又可以进行哪些操作。

如图1所示，S交换机接入平面的安全主要通过管理员登录和用户接入来保证。

管理员登录就是保证管理员安全的管理设备，交换机通过设置用户名和密码、ACL限制用户登

录，通过STelnet登录方式保证管理员登录过程安全，通过设置用户的级别控制用户操作权限。

用户接入指的是通过对接入用户进行认证、授权，保证只有合法安全的用户才能通过交换机接

入网络。

控制平面

控制平面主要采用CPU实现转发的控制。CPU就像我们的大脑，指挥着设备各项机能的正常运转。

CPU的安全是设备和协议正常运行的前提。我们都知道如果电脑打开的程序太多，运行过程中就会

出现卡顿，设备也是一样的道理。如果上送CPU处理的协议报文过多，CPU就会很繁忙，设备性能就

会下降，业务就会中断。因此，作为交换机的核心部件，CPU也就成为非法用户攻击的对象。

网络攻击可能会导致CPU高，但是CPU高并不一定是网络攻击引起的，还有可能是硬件故障、网络震

荡、网络环路等原因，本专题仅介绍由网络攻击引起的CPU高，其他内容请参见"华为S系列园区交

换机维护宝典"。

为了保证CPU的正常运行，交换机使用默认的CPCAR值对上送的协议报文进行限速。

图2 CPU防攻击处理流程

如果经过交换机默认的CPCAR限速后，上送CPU的报文依然超过了CPU可以处理的范围，CPU利用

率很高，还可以通过以下方式做进一步的处理：

调整CPCAR值：缩小CPCAR值，减少上送CPU的协议报文的数量；

攻击溯源：对上送CPU的报文进行分析统计，设置检查阈值，对于超过检查阈值的报文执行相

应的惩罚措施，如丢弃报文、Shutdown接口、设置黑名单等。

转发平面

转发平面的作用就是通过查询转发表项指导数据流量正确转发，因此针对转发平面的攻击无外乎两

种：

1) 耗尽转发表资源，导致合法用户的转发表无法被学习，合法用户的流量无法被转发

2) 篡改转发表，导致合法用户的流量转发至错误的地方。

那么交换机又是怎么预防这些攻击的呢？下面基于交换机网络部署位置，分别讲下二层网络的防攻

击方法和三层网络的防攻击方法。

二层网络

二层网络数据转发的核心是mac表，所有数据流量的转发都需要查找MAC表，因此MAC表也就

成为非法用户攻击二层网络的主要目标。非法用户通过发送大量的报文，迅速耗尽MAC表资源，

使报文因查找不到MAC表项进行广播，从而占用带宽资源，产生广播风暴。交换机支持通过MAC

学习控制、DHCP Snooping和风暴抑制等方式来保护MAC表的安全。

三层网络

三层网络数据转发依赖ARP表和路由表。路由表是通过协议协商生成的，因此非法用户很难对

此进行攻击。ARP表是通过协议报文生成的，非法用户可以发送大量的协议报文或者伪造协议

报文使ARP表项出现异常。因此ARP表是交换机在三层网络中保护的主要对象。交换机支持通过

ARP安全、DAI/EAI、IPSG防止此类攻击。