交換安全-三層交換機(jī)發(fā)動(dòng)防守反擊

第第頁(yè)交換安全:三層交換機(jī)發(fā)動(dòng)防守反擊交換安全:三層交換機(jī)發(fā)動(dòng)防守反擊

發(fā)表于：2023-06-23來(lái)源：：點(diǎn)擊數(shù)：標(biāo)簽：

雖然新型的運(yùn)營(yíng)商城域網(wǎng)用路由器代替了部分三層交換機(jī)的功能，但是目前，三層交換機(jī)仍然沒有退出城域網(wǎng)的競(jìng)爭(zhēng)，很多地市級(jí)運(yùn)營(yíng)商仍然大量使用了三層交換機(jī)構(gòu)建城域網(wǎng)的匯聚層，甚至在核心層面上也引入了三層交換機(jī)。因此，也對(duì)三層交換機(jī)的功能和性能提出

雖然新型的運(yùn)營(yíng)商城域網(wǎng)用路由器代替了部分三層交換機(jī)的功能，但是目前，三層交換機(jī)仍然沒有退出城域網(wǎng)的競(jìng)爭(zhēng)，很多地市級(jí)運(yùn)營(yíng)商仍然大量使用了三層交換機(jī)構(gòu)建城域網(wǎng)的匯聚層，甚至在核心層面上也引入了三層交換機(jī)。因此，也對(duì)三層交換機(jī)的功能和性能提出了更高的要求。

為適應(yīng)運(yùn)營(yíng)級(jí)城域網(wǎng)的要求，目前的三層交換機(jī)，尤其是高端三層交換機(jī)，在路由轉(zhuǎn)發(fā)能力、接口類型、業(yè)務(wù)能力、QoS以及安全、計(jì)費(fèi)、認(rèn)證等功能上都有了很大的改進(jìn)和提高。

在路由轉(zhuǎn)發(fā)能力上，傳統(tǒng)的交換機(jī)采用“按流轉(zhuǎn)發(fā)+精確匹配”的模式，即在CACHE中存儲(chǔ)了包括源IP地址和目的IP地址的“精確匹配表”，對(duì)數(shù)據(jù)流進(jìn)行精確匹配。由于采用了CACHE技術(shù)，并采取按流轉(zhuǎn)發(fā)的方式，轉(zhuǎn)發(fā)速度和效率很高，但受到CACHE容量的限制，當(dāng)網(wǎng)絡(luò)規(guī)模變大，網(wǎng)絡(luò)中的地址增多，這種方式就存在著CACHE耗盡的風(fēng)險(xiǎn)，尤其是目前網(wǎng)絡(luò)上病毒的泛濫，偽造地址的攻擊越來(lái)越多，大量偽造的IP地址將很快耗盡交換機(jī)的資源。因此，目前高端三層交換機(jī)也采用了類似路由器的“最長(zhǎng)匹配”方式，即不匹配完整的IP地址，只根據(jù)網(wǎng)段進(jìn)行最長(zhǎng)匹配，這樣就能更好地適應(yīng)網(wǎng)絡(luò)規(guī)模和流量模式的變化。同時(shí)，由于ASIC技術(shù)的發(fā)展，這種“最長(zhǎng)匹配”也可以由硬件來(lái)完成，在不影響轉(zhuǎn)發(fā)速度的情況下使得三層交換機(jī)可以適應(yīng)更復(fù)雜的網(wǎng)絡(luò)環(huán)境。

傳統(tǒng)的三層交換機(jī)只支持以太網(wǎng)接口，即10/100M和1000M以太網(wǎng)接口，但隨著三層交換機(jī)應(yīng)用于城域網(wǎng)環(huán)境，一方面較低的接口速率無(wú)法滿足城域網(wǎng)核心層面的轉(zhuǎn)發(fā)需要;另一方面單一的以太網(wǎng)接口也不能適應(yīng)城域網(wǎng)與廣域網(wǎng)互聯(lián)的需求。10G以太網(wǎng)的標(biāo)準(zhǔn)(IEEE802.3ae)于2023年6月正式頒布，目前，經(jīng)過(guò)短短三年的發(fā)展，大多數(shù)主流廠商的高端三層交換機(jī)都已經(jīng)支持了10G以太網(wǎng)接口，這使得企業(yè)網(wǎng)、校園網(wǎng)以及運(yùn)營(yíng)商城域網(wǎng)的骨干帶寬大大增加。同時(shí)，在一些高端的三層交換機(jī)上也提供了POS、ATM、E1/E3等廣域網(wǎng)接口，從而使通過(guò)三層交換機(jī)實(shí)現(xiàn)城域網(wǎng)與廣域網(wǎng)的互聯(lián)成為可能，并且使三層交換機(jī)可以更加“方便”的成為城域網(wǎng)的核心層設(shè)備。

傳統(tǒng)的三層交換機(jī)在路由協(xié)議的支持能力方面比較弱，一般只支持RIP等適合小規(guī)模網(wǎng)絡(luò)的域內(nèi)路由協(xié)議。目前的三層交換機(jī)不僅可以支持RIP、OSPF等域內(nèi)路由協(xié)議，一些高端的三層交換機(jī)還可以支持BGP協(xié)議，這樣就大大擴(kuò)展了三層交換機(jī)的應(yīng)用范圍。隨著VOD等組播業(yè)務(wù)的迅速發(fā)展，要求網(wǎng)絡(luò)設(shè)備也要能夠支持組播功能，目前的三層交換機(jī)不僅可以支持IGMP協(xié)議，而且可以支持PIM-SM/DM、DVMRP等組播路由協(xié)議，使得三層交換機(jī)既可以部署在網(wǎng)絡(luò)的邊緣，又可以在匯聚層或核心層提供組播業(yè)務(wù)的支持。

由于MPLSVPN可以實(shí)現(xiàn)用戶數(shù)據(jù)的隔離，同時(shí)也可以提供QoS保證，因此正在成為IP城域網(wǎng)中重要的增值業(yè)務(wù)提供手段。過(guò)去的MPLSVPN業(yè)務(wù)基本上是在路由器上提供的，即由路由器作為PE設(shè)備，而目前，在華為、中興、港灣等國(guó)內(nèi)主流廠商的三層交換機(jī)上也提供了MPLSVPN功能，這樣可以用位于網(wǎng)絡(luò)邊緣的三層交換機(jī)作為PE，為L(zhǎng)AN接入的用戶更方便的提供MPLSVPN業(yè)務(wù)。

提供對(duì)業(yè)務(wù)流的QoS保證是運(yùn)營(yíng)級(jí)IP城域網(wǎng)的一個(gè)基本能力，目前的三層交換機(jī)根據(jù)其在網(wǎng)絡(luò)中位置的不同也提供了不同的QoS支持功能。位于網(wǎng)絡(luò)邊緣的三層交換機(jī)需要完成業(yè)務(wù)流分類與流量限制的工作，即根據(jù)數(shù)據(jù)流的特征將業(yè)務(wù)流區(qū)分開來(lái)，并賦予其不同的優(yōu)先級(jí);或?qū)δ承I(yè)務(wù)流的流量進(jìn)行限制。目前有一些被稱之為“智能交換機(jī)”的三層交換機(jī)設(shè)備，可以基于二到七層的各種信息對(duì)數(shù)據(jù)流進(jìn)行分類，并對(duì)命中的數(shù)據(jù)流采取各種QoS策略，如對(duì)數(shù)據(jù)流“重新著色”、進(jìn)行接入速率限制(CAR)或流量整形(GTS)等，這樣就使得網(wǎng)絡(luò)邊緣的業(yè)務(wù)感知和流量控制更加靈活方便。位于匯聚/核心層的三層交換機(jī)可以根據(jù)數(shù)據(jù)流的優(yōu)先級(jí)(TOS、DSCP，或MPLS標(biāo)簽中的ESP字段)進(jìn)行隊(duì)列調(diào)度和區(qū)分轉(zhuǎn)發(fā)?？梢哉f(shuō)，目前的三層交換機(jī)在QoS功能方面與路由器相比已經(jīng)沒有太大的差別。

在病毒、攻擊日益泛濫的今天，網(wǎng)絡(luò)的安全問(wèn)題越來(lái)越重要，解決安全問(wèn)題需要在網(wǎng)絡(luò)邊緣支持對(duì)非法流量的過(guò)濾、對(duì)用戶的認(rèn)證等能力。目前的三層交換機(jī)基本都支持配置ACL策略，可以根據(jù)流量特征對(duì)非法數(shù)據(jù)流進(jìn)行過(guò)濾，或采用流量限制的策略，這樣就大大限制了病毒或攻擊流量的擴(kuò)散速度和危害程度。但由于受到ASIC的限制，三層交換機(jī)，尤其是中低端的產(chǎn)品所支持的ACL數(shù)量大都比較有限，這個(gè)缺陷也制約了三層交換機(jī)過(guò)濾非法流量的能力。對(duì)用戶進(jìn)行認(rèn)證，確保只有合法用戶接入網(wǎng)絡(luò)也是保證網(wǎng)絡(luò)安全的一個(gè)重要方面，三層交換機(jī)基本都支持802.1x、PPPOE、WebPortal等認(rèn)證方式，并結(jié)合RADIUS協(xié)議提供對(duì)用戶的認(rèn)證和計(jì)費(fèi)功能。同時(shí)，為防止偽造地址或虛假用戶的攻擊，一些交換機(jī)還提供了MAC、端口、用戶名、IP、VLAN等多種信息的綁訂功能。

目前的三層交換機(jī)設(shè)備已經(jīng)不僅僅是二層交換加路由功能的簡(jiǎn)單組合，而是成為了在轉(zhuǎn)發(fā)性能、安全特性、QoS等方面都具有較好支持性