交换安全:三层交换机发动防守反击

发表于:2007-06-23来源:作者:点击数: 标签:
虽然新型的运营商城域网用路由器代替了部分三层交换机的功能,但是目前,三层交换机仍然没有退出城域网的竞争,很多地市级运营商仍然大量使用了三层交换机构建城域网的汇聚层,甚至在核心层面上也引入了三层交换机。因此,也对三层交换机的功能和 性能 提出

   
  虽然新型的运营商城域网用路由器代替了部分三层交换机的功能,但是目前,三层交换机仍然没有退出城域网的竞争,很多地市级运营商仍然大量使用了三层交换机构建城域网的汇聚层,甚至在核心层面上也引入了三层交换机。因此,也对三层交换机的功能和性能提出了更高的要求。

  
  为适应运营级城域网的要求,目前的三层交换机,尤其是高端三层交换机,在路由转发能力、接口类型、业务能力、QoS以及安全、计费、认证等功能上都有了很大的改进和提高。
  
  在路由转发能力上,传统的交换机采用“按流转发+精确匹配”的模式,即在CACHE中存储了包括源IP地址和目的IP地址的“精确匹配表”,对数据流进行精确匹配。由于采用了CACHE技术,并采取按流转发的方式,转发速度和效率很高,但受到CACHE容量的限制,当网络规模变大,网络中的地址增多,这种方式就存在着CACHE耗尽的风险,尤其是目前网络上病毒的泛滥,伪造地址的攻击越来越多,大量伪造的IP地址将很快耗尽交换机的资源。因此,目前高端三层交换机也采用了类似路由器的“最长匹配”方式,即不匹配完整的IP地址,只根据网段进行最长匹配,这样就能更好地适应网络规模和流量模式的变化。同时,由于ASIC技术的发展,这种“最长匹配”也可以由硬件来完成,在不影响转发速度的情况下使得三层交换机可以适应更复杂的网络环境。
  
  传统的三层交换机只支持以太网接口,即10/100M和1000M以太网接口,但随着三层交换机应用于城域网环境,一方面较低的接口速率无法满足城域网核心层面的转发需要;另一方面单一的以太网接口也不能适应城域网与广域网互联的需求。10G以太网的标准(IEEE802.3ae)于2002年6月正式颁布,目前,经过短短三年的发展,大多数主流厂商的高端三层交换机都已经支持了10G以太网接口,这使得企业网、校园网以及运营商城域网的骨干带宽大大增加。同时,在一些高端的三层交换机上也提供了POS、ATM、E1/E3等广域网接口,从而使通过三层交换机实现城域网与广域网的互联成为可能,并且使三层交换机可以更加“方便”的成为城域网的核心层设备。
  
  传统的三层交换机在路由协议的支持能力方面比较弱,一般只支持RIP等适合小规模网络的域内路由协议。目前的三层交换机不仅可以支持RIP、OSPF等域内路由协议,一些高端的三层交换机还可以支持BGP协议,这样就大大扩展了三层交换机的应用范围。随着VOD等组播业务的迅速发展,要求网络设备也要能够支持组播功能,目前的三层交换机不仅可以支持IGMP协议,而且可以支持PIM-SM/DM、DVMRP等组播路由协议,使得三层交换机既可以部署在网络的边缘,又可以在汇聚层或核心层提供组播业务的支持。
  
  由于MPLS VPN可以实现用户数据的隔离,同时也可以提供QoS保证,因此正在成为IP城域网中重要的增值业务提供手段。过去的MPLS VPN业务基本上是在路由器上提供的,即由路由器作为PE设备,而目前,在华为、中兴、港湾等国内主流厂商的三层交换机上也提供了MPLS VPN功能,这样可以用位于网络边缘的三层交换机作为PE,为LAN接入的用户更方便的提供MPLS VPN业务。
  
  提供对业务流的QoS保证是运营级IP城域网的一个基本能力,目前的三层交换机根据其在网络中位置的不同也提供了不同的QoS支持功能。位于网络边缘的三层交换机需要完成业务流分类与流量限制的工作,即根据数据流的特征将业务流区分开来,并赋予其不同的优先级;或对某些业务流的流量进行限制。目前有一些被称之为“智能交换机”的三层交换机设备,可以基于二到七层的各种信息对数据流进行分类,并对命中的数据流采取各种QoS策略,如对数据流“重新着色”、进行接入速率限制(CAR)或流量整形(GTS)等,这样就使得网络边缘的业务感知和流量控制更加灵活方便。位于汇聚/核心层的三层交换机可以根据数据流的优先级(TOS、DSCP,或MPLS标签中的ESP字段)进行队列调度和区分转发。可以说,目前的三层交换机在QoS功能方面与路由器相比已经没有太大的差别。
  
  在病毒、攻击日益泛滥的今天,网络的安全问题越来越重要,解决安全问题需要在网络边缘支持对非法流量的过滤、对用户的认证等能力。目前的三层交换机基本都支持配置ACL策略,可以根据流量特征对非法数据流进行过滤,或采用流量限制的策略,这样就大大限制了病毒或攻击流量的扩散速度和危害程度。但由于受到ASIC的限制,三层交换机,尤其是中低端的产品所支持的ACL数量大都比较有限,这个缺陷也制约了三层交换机过滤非法流量的能力。对用户进行认证,确保只有合法用户接入网络也是保证网络安全的一个重要方面,三层交换机基本都支持802.1x、PPPOE、Web Portal等认证方式,并结合RADIUS协议提供对用户的认证和计费功能。同时,为防止伪造地址或虚假用户的攻击,一些交换机还提供了MAC、端口、用户名、IP、VLAN等多种信息的绑订功能。
  
  目前的三层交换机设备已经不仅仅是二层交换加路由功能的简单组合,而是成为了在转发性能、安全特性、QoS等方面都具有较好支持性的,具有多接口类型、多业务支持能力的综合业务承载平台,为了适应电信级网络的需要,许多高端的三层交换机还提供了电源、主控板以及交换板的冗余配置。

原文转自:http://www.ltesting.net