分享
 
 
 

交换安全:三层交换机发动防守反击

王朝other·作者佚名  2008-05-19
窄屏简体版  字體: |||超大  

虽然新型的运营商城域网用路由器代替了部分三层交换机的功能,但是目前,三层交换机仍然没有退出城域网的竞争,很多地市级运营商仍然大量使用了三层交换机构建城域网的汇聚层,甚至在核心层面上也引入了三层交换机。因此,也对三层交换机的功能和性能提出了更高的要求。

为适应运营级城域网的要求,目前的三层交换机,尤其是高端三层交换机,在路由转发能力、接口类型、业务能力、QoS以及安全、计费、认证等功能上都有了很大的改进和提高。

在路由转发能力上,传统的交换机采用“按流转发+精确匹配”的模式,即在CACHE中存储了包括源IP地址和目的IP地址的“精确匹配表”,对数据流进行精确匹配。由于采用了CACHE技术,并采取按流转发的方式,转发速度和效率很高,但受到CACHE容量的限制,当网络规模变大,网络中的地址增多,这种方式就存在着CACHE耗尽的风险,尤其是目前网络上病毒的泛滥,伪造地址的攻击越来越多,大量伪造的IP地址将很快耗尽交换机的资源。因此,目前高端三层交换机也采用了类似路由器的“最长匹配”方式,即不匹配完整的IP地址,只根据网段进行最长匹配,这样就能更好地适应网络规模和流量模式的变化。同时,由于ASIC技术的发展,这种“最长匹配”也可以由硬件来完成,在不影响转发速度的情况下使得三层交换机可以适应更复杂的网络环境。

传统的三层交换机只支持以太网接口,即10/100M和1000M以太网接口,但随着三层交换机应用于城域网环境,一方面较低的接口速率无法满足城域网核心层面的转发需要;另一方面单一的以太网接口也不能适应城域网与广域网互联的需求。10G以太网的标准(IEEE802.3ae)于2002年6月正式颁布,目前,经过短短三年的发展,大多数主流厂商的高端三层交换机都已经支持了10G以太网接口,这使得企业网、校园网以及运营商城域网的骨干带宽大大增加。同时,在一些高端的三层交换机上也提供了POS、ATM、E1/E3等广域网接口,从而使通过三层交换机实现城域网与广域网的互联成为可能,并且使三层交换机可以更加“方便”的成为城域网的核心层设备。

传统的三层交换机在路由协议的支持能力方面比较弱,一般只支持RIP等适合小规模网络的域内路由协议。目前的三层交换机不仅可以支持RIP、OSPF等域内路由协议,一些高端的三层交换机还可以支持BGP协议,这样就大大扩展了三层交换机的应用范围。随着VOD等组播业务的迅速发展,要求网络设备也要能够支持组播功能,目前的三层交换机不仅可以支持IGMP协议,而且可以支持PIM-SM/DM、DVMRP等组播路由协议,使得三层交换机既可以部署在网络的边缘,又可以在汇聚层或核心层提供组播业务的支持。

由于MPLS VPN可以实现用户数据的隔离,同时也可以提供QoS保证,因此正在成为IP城域网中重要的增值业务提供手段。过去的MPLS VPN业务基本上是在路由器上提供的,即由路由器作为PE设备,而目前,在华为、中兴、港湾等国内主流厂商的三层交换机上也提供了MPLS VPN功能,这样可以用位于网络边缘的三层交换机作为PE,为LAN接入的用户更方便的提供MPLS VPN业务。

提供对业务流的QoS保证是运营级IP城域网的一个基本能力,目前的三层交换机根据其在网络中位置的不同也提供了不同的QoS支持功能。位于网络边缘的三层交换机需要完成业务流分类与流量限制的工作,即根据数据流的特征将业务流区分开来,并赋予其不同的优先级;或对某些业务流的流量进行限制。目前有一些被称之为“智能交换机”的三层交换机设备,可以基于二到七层的各种信息对数据流进行分类,并对命中的数据流采取各种QoS策略,如对数据流“重新着色”、进行接入速率限制(CAR)或流量整形(GTS)等,这样就使得网络边缘的业务感知和流量控制更加灵活方便。位于汇聚/核心层的三层交换机可以根据数据流的优先级(TOS、DSCP,或MPLS标签中的ESP字段)进行队列调度和区分转发。可以说,目前的三层交换机在QoS功能方面与路由器相比已经没有太大的差别。

在病毒、攻击日益泛滥的今天,网络的安全问题越来越重要,解决安全问题需要在网络边缘支持对非法流量的过滤、对用户的认证等能力。目前的三层交换机基本都支持配置ACL策略,可以根据流量特征对非法数据流进行过滤,或采用流量限制的策略,这样就大大限制了病毒或攻击流量的扩散速度和危害程度。但由于受到ASIC的限制,三层交换机,尤其是中低端的产品所支持的ACL数量大都比较有限,这个缺陷也制约了三层交换机过滤非法流量的能力。对用户进行认证,确保只有合法用户接入网络也是保证网络安全的一个重要方面,三层交换机基本都支持802.1x、PPPOE、Web Portal等认证方式,并结合RADIUS协议提供对用户的认证和计费功能。同时,为防止伪造地址或虚假用户的攻击,一些交换机还提供了MAC、端口、用户名、IP、VLAN等多种信息的绑订功能。

目前的三层交换机设备已经不仅仅是二层交换加路由功能的简单组合,而是成为了在转发性能、安全特性、QoS等方面都具有较好支持性的,具有多接口类型、多业务支持能力的综合业务承载平台,为了适应电信级网络的需要,许多高端的三层交换机还提供了电源、主控板以及交换板的冗余配置。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有