在網絡實際環境中，隨著計算機性能的不斷提升，針對網絡中的交換機、路由器或其它計算機等設備的攻擊趨勢越來越嚴重，影響越來越劇烈。交換機作為局域網信息交換的主要設備，特別是核心、匯聚交換機承載著極高的數據流量，在突發異常數據或攻擊時，極易造成負載過重或宕機現象。為了盡可能抑制攻擊帶來的影響，減輕交換機的負載，使局域網穩定運行，交換機廠商在交換機上應用了一些安全防范技術，網絡管理人員應該根據不同的設備型號，有效地啟用和配置這些技術，凈化局域網環境。本文以華為3COM公司的Quidway系列交換機為例，分兩期為您介紹常用的安全防范技術和配置方法。以下您將學到廣播風暴控制技術、MAC地址控制技術、DHCP控制技術及ACL技術。
??? 廣播風暴控制技術
??? 　　網卡或其它網絡接口損壞、環路、人為干擾破壞、黑客工具、病毒傳播，都可能引起廣播風暴，交換機會把大量的廣播幀轉發到每個端口上，這會極大地消耗鏈路帶寬和硬件資源。可以通過設置以太網端口或VLAN的廣播風暴抑制比,從而有效地抑制廣播風暴，避免網絡擁塞。
??? 　　1.廣播風暴抑制比
??? 　　可以使用以下命令限制端口上允許通過的廣播流量的大小，當廣播流量超過用戶設置的值后，系統將對廣播流量作丟棄處理，使廣播所占的流量比例降低到合理的范圍，以端口最大廣播流量的線速度百分比作為參數，百分比越小，表示允許通過的廣播流量越小。當百分比為100時，表示不對該端口進行廣播風暴抑制。缺省情況下，允許通過的廣播流量為100%，即不對廣播流量進行抑制。在以太網端口視圖下進行下列配置：
??? 　　broadcast-suppression ratio
??? 　　2.為VLAN指定廣播風暴抑制比
??? 　　同樣，可以使用下面的命令設置VLAN允許通過的廣播流量的大小。缺省情況下，系統所有VLAN不做廣播風暴抑制，即max-ratio值為100%。
??? 　　
??? 　　MAC地址控制技術
??? 　　以太網交換機可以利用MAC地址學習功能獲取與某端口相連的網段上各網絡設備的MAC 地址。對于發往這些MAC地址的報文，以太網交換機可以直接使用硬件轉發。如果MAC地址表過于龐大，可能導致以太網交換機的轉發性能的下降。MAC攻擊利用工具產生欺騙的MAC地址，快速填滿交換機的MAC表，MAC表被填滿后，交換機會以廣播方式處理通過交換機的報文，流量以洪泛方式發送到所有接口，這時攻擊者可以利用各種嗅探工具獲取網絡信息。TRUNK接口上的流量也會發給所有接口和鄰接交換機，會造成交換機負載過大，網絡緩慢和丟包，甚至癱瘓。可以通過設置端口上最大可以通過的MAC地址數量、MAC地址老化時間，來抑制MAC攻擊。
??? 　　1.設置最多可學習到的MAC地址數
??? 　　通過設置以太網端口最多學習到的MAC地址數，用戶可以控制以太網交換機維護的MAC地址表的表項數量。如果用戶設置的值為count，則該端口學習到的MAC地址條數達到count 時，該端口將不再對MAC地址進行學習。缺省情況下，交換機對于端口最多可以學習到的MAC地址數目沒有限制。
??? 　　在以太網端口視圖下進行下列配置：
??? 　　mac-address max-mac-count count
??? 　　2.設置系統MAC地址老化時間
??? 　　設置合適的老化時間可以有效實現MAC地址老化的功能。用戶設置的老化時間過長或者過短，都可能導致以太網交換機廣播大量找不到目的MAC地址的數據報文，影響交換機的運行性能。如果用戶設置的老化時間過長，以太網交換機可能會保存許多過時的MAC地址表項，從而耗盡MAC地址表資源，導致交換機無法根據網絡的變化更新MAC地址表。如果用戶設置的老化時間太短，以太網交換機可能會刪除有效的MAC地址表項。一般情況下，推薦使用老化時間age的缺省值300秒。
??? 　　在系統視圖下進行下列配置: mac-address timer { aging age | no-aging }
??? 　　
??? 　　使用參數no-aging時表示不對MAC地址表項進行老化。
??? 　　3．設置MAC地址表的老化時間
??? 　　這里的鎖定端口就是指設置了最大學習MAC地址數的以太網端口。在以太網端口上使用命令mac-address max-mac-count設置端口能夠學習的最大地址數以后，學習到的MAC地址表項將和相應的端口綁定起來。如果某個MAC地址對應的主機長時間不上網或已移走，它仍然占用端口上的一個MAC地址表項，從而造成MAC地址在這5個MAC地址以外的主機將不能上網。此時可以通過設置鎖定端口對應的MAC地址表的老化時間，使長時間不上網的主機對應的MAC地址表項老化，從而使其他主機可以上網。缺省情況下，鎖定端口對應的MAC地址表的老化時間為1小時。
??? 　　在系統視圖下進行下列配置：
??? 　　lock-port mac-aging { age-time | no-age }
??? DHCP控制技術
??? 　　DHCP Server可以自動為用戶設置IP地址、掩碼、網關、DNS、WINS等網絡參數，解決客戶機位置變化（如便攜機或無線網絡）和客戶機數量超過可分配的IP地址的情況，簡化用戶設置，提高管理效率。但在DHCP管理使用上，存在著DHCP Server冒充、DHCP Server的Dos攻擊、用戶隨意指定IP地址造成網絡地址沖突等問題。
??? 　　1．三層交換機的DHCP Relay技術
??? 　　早期的DHCP協議只適用于DHCP Client和Server處于同一個子網內的情況，不可以跨網段工作。因此，為實現動態主機配置，需要為每一個子網設置一個DHCP Server，這顯然是不經濟的。DHCP Relay的引入解決了這一難題：局域網內的DHCP Client可以通過DHCP Relay與其他子網的DHCP Server通信，最終取得合法的IP地址。這樣，多個網絡上的DHCP Client可以使用同一個DHCP Server，既節省了成本，又便于進行集中管理。DHCP Relay配置包括：
??? 　　（1）配置IP 地址
??? 　　為了提高可靠性，可以在一個網段設置主、備DHCP Server。主、備DHCP Server構成了一個DHCP Server組。可以通過下面的命令指定主、備DHCP Server的IP地址。
??? 　　在系統視圖下進行下列配置:
??? 　　dhcp-server groupNo ip ipaddress1 [ ipaddress2 ]
??? 　　（2）配置VLAN接口對應的組
??? 　　在VLAN接口視圖下進行下列配置：
??? 　　dhcp-server groupNo
??? 　　（3）使能/禁止VLAN 接口上的DHCP安全特性
??? 　　使能VLAN接口上的DHCP安全特性將啟動VLAN接口下用戶地址合法性的檢查，這樣可以杜絕用戶私自配置IP地址擾亂網絡秩序，同DHCP Server配合，快速、準確定位病毒或干擾源。
??? 　　在VLAN接口視圖下進行下列配置：
??? 　　address-check enable
??? 　　（4）配置用戶地址表項
??? 　　為了使配置了DHCP Relay的VLAN內的合法固定IP地址用戶能夠通過DHCP安全特性的地址合法性檢查，需要使用此命令為固定IP地址用戶添加一條IP地址和MAC地址對應關系的靜態地址表項。如果有另外一個非法用戶配置了一個靜態IP地址，該靜態IP地址與合法用戶的固定IP地址發生沖突，執行DHCP Relay功能的以太網交換機，可以識別出非法用戶，并拒絕非法用戶的IP與MAC地址的綁定請求。
??? 　　在系統視圖下進行下列配置：
??? 　　dhcp-security static ip_address mac_address
??? 　　2．其它地址管理技術
??? 　　在二層交換機上，為了使用戶能通過合法的DHCP服務器獲取IP地址，DHCP-Snooping安全機制允許將端口設置為信任端口與不信任端口。其中信任端口連接DHCP服務器或其他交換機的端口；不信任端口連接用戶或網絡。不信任端口將接收到的DHCP服務器響應的DHCPACK和DHCPOFF報文丟棄；而信任端口將此DHCP報文正常轉發，從而保證了用戶獲取正確的IP地址。
??? 　　（1）開啟/關閉交換機DHCP-Snooping 功能
??? 　　缺省情況下，以太網交換機的DHCP-Snooping功能處于關閉狀態。
??? 　　在系統視圖下進行下列配置，啟用DHCP-Snooping功能：
??? 　　dhcp-snooping
??? 　　（2）配置端口為信任端口
??? 　　缺省情況下，交換機的端口均為不信任端口。
??? 　　在以太網端口視圖下進行下列配置：
??? 　　dhcp-snooping trust
??? 　　(3)配置VLAN接口通過DHCP方式獲取IP地址
??? 　　在VLAN 接口視圖下進行下列配置:
??? 　　ip address dhcp-alloc
??? 　　（4）訪問管理配置--配置端口/IP地址/MAC地址的綁定
??? 　　可以通過下面的命令將端口、IP地址和MAC地址綁定在一起，支持Port+IP、Port+MAC、Port+IP+MAC、IP+MAC綁定方式，防止私自移動機器設備或濫用MAC地址攻擊、IP地址盜用攻擊等，但這種方法工作量巨大。
??? ACL（訪問控制列表）技術
??? 　　為了過濾通過網絡設備的數據包，需要配置一系列的匹配規則，以識別需要過濾的對象。在識別出特定的對象之后，網絡設備才能根據預先設定的策略允許或禁止相應的數據包通過。訪問控制列表（Access Control List，ACL）就是用來實現這些功能。ACL通過一系列的匹配條件對數據包進行分類，這些條件可以是數據包的源地址、目的地址、端口號等。ACL應用在交換機全局或端口，交換機根據ACL中指定的條件來檢測數據包，從而決定是轉發還是丟棄該數據包。訪問控制列表又可分為以下幾種類型。
??? 　　基本訪問控制列表：根據三層源IP制定規則，對數據包進行相應的分析處理。
??? 　　高級訪問控制列表：根據源IP、目的IP、使用的TCP或UDP端口號、報文優先級等數據包的屬性信息制定分類規則，對數據包進行相應的處理。高級訪問控制列表支持對三種報文優先級的分析處理：TOS(Type Of Service)優先級、IP優先級和DSCP優先級。