笔者以前遇到两件网络通信故障的案例。
1、DHCP Snooping之DHCP Server仿冒者
网络中,为了扩展端口接了一台扩展交换机,但是扩展交换机由DHCP功能,可以分配IP地址,而不是由核心交换机(DHCP服务器)分配正确的IP地址。那么局域网中存在私自架设的DHCP服务器, 当其他用户申请IP地址时, 这台DHCP服务器就会与DHCP客户端进行交互, 导致用户获得错误的IP地址和网络配置参数, 无法正常通信。
解决办法就是关闭扩展交换机的DHCP功能。
2、生成树协议安全之BPDU保护
在二层交换网络中, 一旦网络存在环路就会造成报文在环路内不断复制和循环, 产生广播风暴。 生成树协议是一种二层管理协议, 它通过选择性地阻塞网络中的冗余链路来消除二层环路, 同时还具备链路备份的功能。运行生成树协议的设备通过彼此交互包含拓扑信息的BPDU报文发现网络中的环路, 并有选择的对某些端口进行阻塞, 最终将环路网络结构修剪成无环路的树型网络结构,从而防止报文在环路网络中不断增生和无限循环, 避免设备由于重复接收相同的报文造成的报文处理能力下降的问题发生。
生成树协议虽然能有效破除二层网络环路, 但因其没有任何认证和加密手段来保护BPDU报文的交换, 导致其容易受到多种攻击。 由于缺乏认证, 攻击者可以与STP协议使能设备进行会话, 攻击者可以轻易地注入伪造的BPDU报文, 触发网络拓扑的重新计算, 导致网络震荡和业务中断。 此外,由于BPDU报文没有加密保护, 使得BPDU报文在传输过程中很容易被截获, 从而导致泄露重要的拓扑信息。
案例中接入交换机的二层透传业务网络设备的数据链路层报文都广播到核心网络中,其中包含了较多BPDU报文,该报文会造成核心网络交换机生成树发生变化,需要重新计算生成树,引起网络拓扑的振荡,从而导致造成网络暂时中断,影响业务正常运行。而核心网的交换机只配置了基本的快速生成树协议,并没有配置相应BPDU保护或根桥保护机制,收到其他私网的BPDU后很容易造成根桥变动导致网络故障。
解决办法就是设置根桥保护以及对业务划分VLAN,实现二层隔离。
带着问题,笔者进一步将学习总结了《华为数据中心网络安全技术白皮书》,现使用xmind展示如下。整个白皮书阐述了数据中心网络遵循X.805的三层三面安全隔离机制,分为管理平面安全、 控制平面安全和转发平面安全。上面的两个案例都是属于控制平面安全的交换业务安全,都涉及到对二层网络的可用性保护。
网友评论