网络交换机安全防护技术的研究

颜宏伟

【摘要】交换机在网络系统中是互联网扩展和连接的核心设备，作为数据交换的端口很容易受到外界攻击和入侵，存在较多安全隐患。因此，需要重点解决网络交换机的安全防护问题，通过访问控制、VLAN划分以及地址绑定的方式提升网络交换机的安全系数。鉴于此，本文对网络交换机安全防护技术进行深入研究，试图为之提供行之有效的可行性建议。

【关键词】网络;交换机;安全;防护

中图分类号：TN929                    文献标识码：A                    DOI：10.12246/j.issn.1673-0348.2021.12..009

随着计算机技术和互联网技术的高速发展，不同领域以及业务之间的互动越来越强，信息传递更加高效，这也使得人们对网络的依赖程度越来越高，因此，网络安全成为关系到广大人民群众切身利益的首要问题。不同网络之间的相互连接和信息共享，成为现阶段网络发展的主要趋势，在此过程中网络交换机发挥着非常重要的作用，网络交换机作为网络扩展的核心设备，可以为接入的局域网提供更多的独立端口，实现全网互联。随着三网融合的逐步形成，全媒体时代已经离人们生活越来越近，在全网互联的时代，网络交换机发挥着重要的作用。与此同时，也使之成为一些非法操作和入侵的重要对象，网络安全性遭到严重威胁，由网络交换机被入侵和破坏引发用户数据泄露、数据被篡改等网络安全事故，屡见不鲜。因此，为了避免网络安全事故发生，需采用科学合理的措施构建网络交换机安全防护体系。

1. 网络交换机技术评价

网络交换机在互联网中用于电信号的接收和转发，可以为不同的局域网提供单独的电信号，是全网互联中不可或缺的一项环节。交换技术的核心是将通信两端的数据信息，按照不同的标准要求传输到对应的路由器上。网络交换机拥有超高带宽的数据总线和内部交换矩阵，当网络交换机的端口接收到不同數据信息后，通过查找地址对照表，确定对应的MAC和NIC端口，然后将对应的数据信息准确传递至目标端口，从而实现数据交换功能。网络交换机可以同时传输多个端口信息，每一个端口都可以提供独立的电信号通路，外界网络节点通过接入端口就可以进行数据传输，并且可以享受全部的带宽。网络交换机利用共享的方式进行数据传输，通过识别连接在端口上设备的MAC地址，在数据传输过程中依据对应的MAC地址寻找专用数据传输通道，完成两点之间的信息传递，有效的降低了外界干扰。在互联网技术高速发展的今天，交换技术有效解决了局域网之间信息传递的瓶颈，通过网络交换机将不同局域网连接在一起，实现资源共享。

2. 网络交换机安全防护策略

网络交换机是网络转换的重要设备，在互联网系统中起到数据传输和转换的作用，网络交换机的端口可以和连接成一个新的局域网和工作站，是网络扩展中不可或缺的重要设备。随着网络交换机使用越来越广泛，尤其是在广电网络当中，对一些重要的系统和设备缺少必要的安全管理措施，数据管理、访问控制以及全流程监控工作不到位，导致网络安全存在一定的风险，通过侵入网络交换机获取网络数据信息严重干扰了网络运行的安全性。为了能够有效提升网络安全的防护功能，需要从网络交换机入手，通过提升网络交换机安全防护策略，来降低非法入侵的风险，提升网络运行的安全性和稳定性。下面对网络交换机的安全防护策略进行分析：

2.1 MAC地址接入限制

广电网络具有非常庞大的内部数据传输网，由于结构较为复杂，网络出口混乱，网络和业务系统之间如果安全防护措施不当，会存在侵入风险。MAC地址是接入网络设备中的ID信息，网络交换机是基于MAC地址进行数据转换，通过识别设备ID，确保信息传递的准确性。在数据传递过程中网络交换机无法找到相关目的MAC对应的条目，此数据帧将作为广播帧进行处理，而MAC地址对照表的容量有限，只能存储少量的条目，一旦存储量达上限后，新的条目将不会添加到MAC地址对照表中。非法者将会利用这一特点，在很短的时间内不断的变换出大量的MAC地址发向网络交换机，引起MAC地址泛洪，当有新的设备要发送数据时，无法进行有效的数据转换，通过非法入侵获取数据信息。目前，采用的方式主要是对网络交换机端口接入的源MAC地址接入的数量进行限制，减少地址泛洪现象的发生。MAC地址来进行接入认证的主要原理就是使用用户的MAC地址作为用户的用户名和密码，当用户接入网络的时候，会发送数据帧，而网络设备通过获取用户的用户名和密码来进行相应的认证，提高网络运行的安全性。

2.2 网络数据加密

数据加密技术是保护网络安全的重要措施，尤其是在企业网络中，大量的数据信息是企业经营决策的重要依据，对于网络安全的防护越来越重要。终端网络的接入点、路由器的连接点、核心网络的连接途径都与网络交换机有关。通过采用网络数据加密的方式也是提升网络交换机安全防护性能的重要方式之一。企业的机密文件和重要的数据信息通过网络交换机进行转换和传输，很容易遭受非法入侵，影响网络安全性，通过采用更加安全的网络密钥，通讯时对用户名及口令进行加密，防止非法用户对口令进行窃取，为网络管理员提供更加安全可靠的远程管理措施。

2.3 VLAN划分安全防范措施

虚拟局域网（Virtual Local Area Network，VLAN）端口划分安全防范措施，主要是将局域网内的设备按照逻辑划分成若干个网段，然后每个网段可以构成一个虚拟网络，实现虚拟工作，也是目前最常用、最有效的安全防范措施之一。通过VLAN划分的端口，只有在相同的网段中可以进行数据流的传输，不同网段无法进行数据传输，即使某一个网段遭受到非法入侵，其他网段也不会受到影响，有效地解决了网络安全防护问题。

2.4 VTP防护技术

中继协议（VLAN Trunking Protocol，VTP）是一种虚拟局域网干道协议。在企业网络中，通过中继协议可以对虚拟局域网进行重新组建、删除或者重命名等操作。在对中继协议配置虚拟局域网时，需要将局域网信息传递给所有交换机，这些交换机接收到配置信息后，会调整配置信息确保VLAN配置的一致性。一个VTP通常是由一台或者多台网络交换机组成，该系统中所有交换机可以进行资源共享。VTP有三种工作模式包括VTP Server、VTP Client 和VTP Transparent。网络交换机的初始默认配置是VLAN1，即VTP模式为服务器。VTP Server维护该VTP域中所有VLAN的 信息列表，VTP Server可以建立、删除或者修改VLAN，发送并转发相关的通告信息，同步虚拟局域网配置，会把配置保存在NVRAM中。VTP Client虽然也维护所有VLAN信息列表，但其VLAN的配置信息是从VTP Server学到的，VTP Client不能建立、删除或修改VLAN，但可以转发通告，同步虚拟局域网配置，不保存配置到随机访问存储器中。不会同步更改VTP域内所有交换机的VLAN版本信息，从而能有效防止非法攻击和入侵。VTP防护技术如下图1所示：

2.5 中继链路防护技术

广电网络的建立实现了全网融合和资源的高度共享，全网融合提高了广电网络数据传输的效率，同时也带来了一些新的网络安全隐患。在全网融合过程中，通常会有多台交换机共同作用，在每台交换机上都会根据部门划分VLAN，为了让处于不同交换机上的VLAN之间能够通信，要引入中继链路技术。中继链路中有一个协议叫做动态链路协议，不同交换机上相同ID的VLAN相互通信。一旦中继链路遭到攻击或者非法入侵，将会对数据信息造成严重破坏，攻击者可以使用模拟网络交换机软件启动DTP协议，并与其他网络交换机协商建立中继链路，从而学习其它网络交换机的所有VLAN，同任意一个VLAN进行通信。为了确保涉密网络中网络交换机VLAN的安全，需要将网络交换机上所有终极端口设置成只允许专用的VLAN通过，并逻辑关闭所有未使用端口，最大程度地减少攻击者侵入中继链路的途径。

在互联网时代，计算机网络安全已经成为现阶段人们关注的焦点问题，为了提高计算机网络的安全性，需要对网络交换机等核心设备的安全防护技术进行优化升级。网络交换机起到网络扩展作用，同时也存在巨大的安全隐患，容易受到非法入侵和破坏，因此，需要通过科学有效的技术提升网络交换机的安全防护能力。本文从MAC地址接入限制、网络数据加密、VLAN划分安全防范措施、VTP防护技术四个方面分析了网络交换机安全防护策略，通过强化网络交换机的安全防护性能，来提升数据传输的安全性，让网络运行的更加安全、稳定。广电网络是人們日常使用最为频繁的网络，安全要求级别高，对网络交换机安全防护技术有着更为严格的要求，严禁存在病毒侵入和攻击。网络交换机安全防护技术是一件长期的、复杂的工程，不仅需要在技术上持续更新，而且还必须在管理方面给予足够的重视。通过对网络交换机安全中存在的种种问题进行深入剖析，及时并且有针对性的调整防范措施，同时添加相应的网络安全产品，才能有效的保护网络环境，使之更好地服务于社会。

参考文献：

[1]于夫.试论网络交换机的安全防护技术[J].中国新通信.2019（10）

[2]唐丽丽.新时期互联网云计算的防护体系探索[J].网络安全技术与应用. 2017（04）

[3]张志国.关于网络安全的动态防护体系设计与实现分析[J].科技视界.2014（24）

[4]李小丹.网络网络交换机的安全防护技术研究[J].电脑编程技巧与维护.2021（03）

[5]张轶瑄.虚拟网络网络交换机技术的应用[J].科技风. 2016（23）