工业以太网交换机的安全问题你有关注吗？

　　工业以太网即一种高效的局域网络，它是现代工业自动化生产体系中的重要组成部份，不管是传感器数据传输、还是生产设备控制等等，这些都需以太网来构成基本的控制网络。

　　现在在工业中，通常会采用专用的工业以太网交换机，定义不同的太网帧优先等级，让用户所希望的信息能够以最快的速度传递出去。

　　以太网交换机技术发展趋势近几年来，随着企业数据通信业务以及相关的融合业务的迅猛发展，以太网交换机作为不可或缺的要害设备不仅在数量上获得了极大的提高，而且在质量、性能等方面不断完善。

　　而伴随着以太网交换机的迅速普及，它的安全问题也日益受到相关重视，我们目前要应对以下这些方面：

　　(1)广播风暴攻击

　　当交换机接收到大流量的广播数据、组播数据或者目的MAC地址为胡乱构造的单播数据时，将以广播的方式进行转发，如果交换机不支持对洪泛数据的流量控制，那么网络的带宽可能就会被这些垃圾数据充满，从而网络中的其它用户无法正常上网。所以，交换机需要支持对从每个端口收到的洪泛数据进行速率限制。

　　(2)数据对网络进行攻击

　　当恶意用户向路由器发送非常大流量的数据，这些数据通过交换机发送给路由器的同时、也占用了该上联接口的大部分带宽，那么其它用户上网也将赶到非常的缓慢。

　　所以，交换机需限制每个端口进行入方向的速率，不然恶意用户就可攻击他所在的网络、从而影响该网络内所有的其它用户。

　　(3)海量MAC地址攻击

　　因为交换机在转发数据时以MAC地址作为索引，如果数据报的目的MAC地址未知时，将在网络中以洪泛的方式转发。所以，恶意用户可以向网络内发送大量的垃圾数据，这些数据的源MAC地址不停改变，因为交换机需要不停的进行MAC地址学习、并且交换机的MAC表容量是有限的，当交换机的MAC表被充满时，原有的MAC地址就会被新学习到的MAC地址覆盖。这样，当交换机接收到路由器发送给正常客户的数据时，由于找不到该客户MAC的记录，从而就将以洪泛的方式在网络内转发，这样就大大降低了网络的转发性能。

　　因此，交换机需要能够限制每个端口能够学习MAC地址的数量，不然整个网络就将退化为一个类似于HUB构成的网络。

　　(4)MAC欺骗攻击

　　恶意用户为攻击网络使之瘫痪，还可将自己的MAC地址改为路由器的MAC地址，然后不停地发送给交换机，这样，交换机就会更新MAC-X的记录，认为MAC-X位于与该恶意用户连接的端口上，此时，当其他用户有数据发送给路由器时，交换机将把这些数据发送给该恶意用户，这样发送正常数据的用户就不能正常上网了。

　　因此，交换机应具备MAC与端口的绑定功能，否则恶意用户可简单地让网络陷入崩溃;或交换机需绑定每个端口允许进入网络的数据的源MAC地址，这样恶意用户就不能通过MAC欺骗来攻击网络。

　　(5)ARP欺骗攻击

　　恶意用户可以进行ARP欺骗攻击，即不管接收到对哪个IP地址发出的ARP请求，都立即发送ARP应答，这样其它用户发送的数据也都将发送到恶意用户的这个MAC地址，这些用户自然不能正常上网。

　　因此，交换机应该实现端口与IP地址的绑定功能，即若收到的ARP请求、ARP应答、口数据与绑定的IP不同，即可将这些数据丢弃掉，否则会让网络陷入瘫痪。

　　(6)环路攻击

　　用户在自己家中也安装一个交换机，并且故意把一根网线的两端都接到该交换机上构成环路，然后在使用网线把该交换机与网络中的交换机连接起来，由于整个网络中存在环路，那么网络中的MAC地址学习将会错乱，从而交换机转发数据时将会产生错误，整个网络也将陷入崩溃。

　　因此，交换机需具备环路检测功能，当发现某个端口存在环路时，需将该端口关闭掉。