二层交换机会识别IP地址吗?

来自:车小胖谈网络 (微信号:chexiaopangnetwork),作者:车小胖谈网络

严格按照OSI参考模型,二层交换机只读取以太帧(二层)信息,而不会读取IP(三层)信息,否则就是三层设备、或三层交换机了。


但是,不读三层(IP地址)信息并不意味着二层交换机不会读三层信息,只是二层交换机没有必要读三层信息而已!

 

以太帧从二层交换机溜了一圈,交换机想读任何信息都是可以的,来个全身扫描(一到七层)谁又管得了呢?老子的地盘老子作主!

 

但是,如果只读取二层MAC地址,而不识别三层的IP地址,将失去对流量的控制!

 

交换机入口只能过滤MAC,而不能过滤IP!交换机不读三层信息,如何过滤呢?

 

读者会说,一个MAC地址通常对应一个IP地址,过滤了MAC地址,间接地就过滤掉了IP地址,不是吗?

 

正常情况下是这样的,但是在不正常的情况下却不一定是这样。



一个主机,伪造了很多IP地址,伪造了很多MAC地址,然后用这些伪造的IP地址发送源源不断的流量,如何阻止并丢弃这些伪造的流量?

 

交换机必须知道该端口合法IP地址,设置一个白名单只允许合法IP地址通行,至于其它的统统丢弃处理,这样就把伪造的流量扼杀在摇篮之中。。。

 

交换机如何获得某个端口的合法IP地址?

 

DHCP Snooping

只要二层交换机偷窥(Snooping)主机DHCP报文交换过程,很容易就可以获得端口的合法IP地址。

 

然后呢?

 

Dynamic ACL

交换机动态生成一个ACL,只允许(Permit)该合法IP地址通行,拒绝(Deny)其它IP地址通行。

 

当流量进入该端口时,用这个ACL进行过滤,正常的流量无障碍通过,哪些伪造的小鱼小虾统统落网。。。


Port Security

以上技术手段,通常应用在交换机端口上,用于保护整个网络不被伪造流量欺骗与攻击。但是,不是所有交换机都会实现类似的功能,这取决于交换机的兴趣取向。

推荐↓↓↓
程序员的那点事
上一篇:一个历时五天的 Bug 下一篇:路由器开启NAT和防火墙功能,性能会下降吗?