Switch là thiết bị hoạt động trên tầng 2 của mô hình OSI (Datalink layer), đây là một thiết bị được dùng rộng rãi trên hầu hết các mô hình hệ thống mạng. Mỗi cổng của switch là một vùng xung đột (collision domain) nên sẽ tránh được đụng dộ khi mỗi cổng gửi thông tin đi. Ở switch băng thông cũng không bị chia sẻ như ở Hub. Tất cả các cổng của switch nằm trong 1 vùng quảng bá (broadcast domain), tức là khi có 1 gói tin mang địa chỉ broadcast tầng 3 đến switch thì tất cả các máy tính nối vào các cổng của switch đều phải xử lý gói tin đó. Các gói tin gửi giữa các máy tính trong cùng mạng LAN sẽ được switch định tuyến dựa trên địa chỉ MAC (Media Access Control). Trên mỗi switch có một bảng địa chỉ MAC được gọi là bảng CAM (Content Addressable Memory), dựa vào bảng này
33
mà switch chuyển các gói tin đến đúng cổng đích. Mỗi card mạng có một địa chỉ MAC duy nhất đo đó mỗi PC sẽ chỉ tương ứng với 1 địa chỉ MAC duy nhất trong bảng CAM.
a. Password truy cập và port sercurity
Khi các cổng của switch không có biện pháp bảo vệ, bất kì người nào với 1 máy tính xách tay đều có thể kết nối vào mạng và có thể sử dụng tài nguyên của mạng. Một trong những cách ngăn chặn việc này đó là thiết lập Static MAC Address. Tức là gắn cho mỗi cổng của switch tương ứng với 1 địa chỉ MAC xác định. Khi đó chỉ có duy nhất máy tính có địa chỉ MAC như thế mới sử dụng được cổng này.
Việc đặt static MAC address đôi khi gây ra lỗi do địa chỉ MAC không chính xác và mất công xác định địa chỉ MAC của từng máy tính. Vấn đề này sẽ được giải quyết bằng việc cấu hình port sercurity trên switch. Địa chỉ MAC đầu tiên mà switch học được từ cổng được cấu hình sẽ được lấy.
Việc đặt các password truy cập cũng phần nào chống lại được sự truy cập bất hợp pháp để điều khiển switch.
b. VLAN
Các phương pháp vừa trình bày chỉ đảm bảo an toàn dữ liệu cho thông tin đi qua switch một cách rất đơn giản. Để nâng cao tính bảo mật khi dùng switch ta có thể cấu hình VLAN (Virtual LAN) trên switch. Thực chất đây là việc chia mạng LAN thành các mạng LAN nhỏ hơn trên cùng 1 switch.
Điều này rất hữu ích cho công việc bảo mật nhất là đối với các doanh nghiệp có nhiều phòng ban hoạt động độc lập. Đối với mỗi phòng ban khác nhau ta sẽ lập thành các VLAN khác nhau. Việc chia nhỏ mạng LAN thành các VLAN sẽ làm tăng băng thông (do các vùng broadcast được chia nhỏ) do đó làm tăng tốc độ truyền dữ liệu.
Khi đã cấu hình VLAN cho mạng LAN thì nếu như một VLAN bị tấn công nó sẽ không gây ảnh hưởng tới VLAN khác vì mỗi VLAN là một vùng broadcast domain riêng biệt.
34
Giao thức VLAN Trunking (VTP) được đưa ra để giải quyết các vấn đề về hoạt động trong mạng chuyển mạch có VLAN. Với VTP cấu hình VLAN được thống nhất trong một miền quản trị. Hơn nữa VTP cũng giúp cho công việc quản lý và theo dõi mạng VLAN trở nên đơn giản hơn. Một miền VTP là tập hợp tất cả các thiết bị kết nối với nhau có cùng tên miền. Khi gửi thông điệp VTP cho các swith khác trong mạng, thông điệp VTP được đóng gói bằng giao thức trunking là ISL hoặc IEEE 802.1Q. Ở chế độ mặc định cứ 5 phút một lần các bản tin cập nhật VTP sẽ được gửi đi. Khi có sự thay đổi nào đó ngay lập tức server sẽ gửi thông tin thay đổi.
Switch ở chế độ Transparent sẽ chuyển tiếp các thông tin VTP mà nó nhận được nhưng nó không quan tâm đến nội dung của các thông điệp này. Transparent switch nhận được thông tin cập nhật VTP từ server nó cũng không cập nhật vào cơ sở dữ liệu, đồng thời nếu cấu hình VLAN của nó thay đổi thì nó cũng không gửi thông báo đến các switch khác. Ở mode transparent có thể tạo, chỉnh sửa và xoá các VLAN nhưng nó chỉ mang tính chất địa phương, tức là chỉ có tác dụng trên chính bản thân nó. Khi cấu hình VLAN trên các switch ta nên đưa vào một tên miền và lựa chọn các switch ứng với từng mode sao cho thuận tiện cho công việc quản lý và bảo mật.