查看: 1977|回复: 1

浅析以太网交换机的发展趋势

[复制链接]

该用户从未签到

发表于 2007-9-18 10:02:39 | 显示全部楼层 |阅读模式
分享到:
 
关键字: 以太网6, 交换机60, 网络安全3, 信息化1, 网络34, 病毒1, 路由器6, HUB1, IP4, IPTV1, VLAN1
   2005年,大中型企业网升级与新网建设主要以万兆为骨干、干兆为接入,而原来的百兆接入份额不断下降。从产品结构上看,2005年中国以太网交换机市场中,高端交换机端口的总量为2876万端口,占总销量的14%;中低端交换机的销售量为17679万端口,占总销量的86%。与2004年相比,2005年中国以太网交换机市场高端交换机销售量增长了20%,中低端交换机增长了112%。总体来看,2005年中国以太网交换机市场的特征为:千兆交换机成为市场主要推动力,网络安全备受关注。
  2006-2010年,中国以太网交换机市场的增长率大概为10%至15%之间。从交换机功能上来说,因为各行业的业务开展对信息化的依赖性越来越大,伴随着网络而来的安全问题也愈加受到重视。内部信息失窃、蠕虫病毒、DOS攻击,网络安全问题已经非常突出,因此,要求交换机增加相关的安全功能。
  1 交换机安全方面的功能需求
  (1)广播风暴攻击
  假设一个极度充满恶意的用户可以发送大流量的广播数据、组播数据或者目的MAC地址为胡乱构造的单播数据,交换机接收到这些数据时,将以广播的方式进行转发,如果交换机不支持对洪泛数据的流量控制,那么网络的带宽可能就会被这些垃圾数据充满,从而网络中的其它用户无法正常上网。
  因此,交换机需要支持对从每个端口收到的洪泛数据进行速率限制。
  (2)数据对网络进行攻击
  该恶意用户可以向路由器发送非常大流量的数据,这些数据通过交换机发送给路由器的同时、也占用了该上联接口的大部分带宽,那么其它用户上网也将赶到非常的缓慢。
  因此,交换机需限制每个端口进行入方向的速率,不然恶意用户就可攻击他所在的网络、从而影响该网络内所有的其它用户。
  (3)海量MAC地址攻击
  因为交换机在转发数据时以MAC地址作为索引,如果数据报的目的MAC地址未知时,将在网络中以洪泛的方式转发。所以,恶意用户可以向网络内发送大量的垃圾数据,这些数据的源MAC地址不停改变,因为交换机需要不停的进行MAC地址学习、并且交换机的MAC表容量是有限的,当交换机的MAC表被充满时,原有的MAC地址就会被新学习到的MAC地址覆盖。这样,当交换机接收到路由器发送给正常客户的数据时,由于找不到该客户MAC的记录,从而就将以洪泛的方式在网络内转发,这样就大大降低了网络的转发性能。
  因此,交换机需要能够限制每个端口能够学习MAC地址的数量,不然整个网络就将退化为一个类似于HUB构成的网络。
  (4)MAC欺骗攻击
  恶意用户为攻击网络使之瘫痪,还可将自己的MAC地址改为路由器的MAC地址(称为MAC-X),然后不停(并不需要很大的流量,每秒钟1个就足够了)地发送给交换机,这样,交换机就会更新MAC-X的记录,认为MAC-X位于与该恶意用户连接的端口上,此时,当其他用户有数据发送给路由器时,交换机将把这些数据发送给该恶意用户,这样发送正常数据的用户就不能正常上网了(同理,该网络内所有的用户都不能上网)
  因此,交换机应具备MAC与端口的绑定功能(即路由器的MAC地址最好在交换机上静态配置),否则恶意用户可简单地让网络陷入崩溃;或交换机需绑定每个端口允许进入网络的数据的源MAC地址,这样恶意用户就不能通过MAC欺骗来攻击网络。
  (5)ARP欺骗攻击
  恶意用户可以进行ARP欺骗攻击,即不管接收到对哪个IP地址发出的ARP请求,都立即发送ARP应答,这样其它用户发送的数据也都将发送到恶意用户的这个MAC地址,这些用户自然不能正常上网。
  因此,交换机应该实现端口与IP地址的绑定功能,即若收到的ARP请求、ARP应答、口数据与绑定的IP不同,即可将这些数据丢弃掉,否则会让网络陷入瘫痪。
  (6)环路攻击
  用户在自己家中也安装一个交换机,并且故意把一根网线的两端都接到该交换机上构成环路,然后在使用网线把该交换机与网络中的交换机连接起来,由于整个网络中存在环路,那么网络中的MAC地址学习将会错乱,从而交换机转发数据时将会产生错误,整个网络也将陷入崩溃。
  因此,交换机需具备环路检测功能,当发现某个端口存在环路时,需将该端口关闭掉。
  (7)对交换机GPU进行攻击
  通过前面的设置,恶意用户向把网络攻击瘫痪的企图已经不能够实现,该用户于是向网络内注入大量交换机必须处理的协议包,比如生成树的BPDU。由于接入交换机的CPU处理能力一般都比较弱,CPU单位时间处理数据的能力小于这些攻击数据到来的数量,交换机CPU的收包队列将快速被攻击数据充满,此时,其它发送给该交换机CPU的数据该交换机都不能处理,对于网络的维护者而言,这台交换机已经不能管理了。并且,如果交换机还在与其它交换机进行协议交互,那么可能会造成其它更加严重的影响,比如,网络建设的时候为了网络具备冗余保护能力,而故意在网络中构造环路,但是通过STP来维护网络的正常数据转发。但是如果网络中的某台交换机因为遭受攻击,不能再接收这些协议包,那么网络就可能进入网络状态,那么网络瞬间就可能陷入崩溃。
  因此,交换机必须具备抵御攻击的能力,而实现该防御的方法就是限制各种类型数据单位时间内进入CPU的数量,另一个更彻底的方法就是在接入用户的端口上配置ACL,凡是目的MAC地址是交换机MAC地址的数据都全部丢弃(因为为了网络安全,并不希望用户访问交换机)
  上面大致描述了一些以太网交换机安全方面的问题,目前可以完全具备防范上述攻击的交换机并不多,因此交换机都需要逐渐实现对上述攻击的防御。
  2 交换机其它功能的需求
  (1)组播的支持
  很多传统交换机转发数据时以广播的方式进行,随着目前组播业务的发展,交换机需要实现组播的按需转发。同时相关的一些功能,比如IGMP SNOOPIGMP PROXY等就必须要能够支持;同时,交换机为了能够支持IPTV开展之后的各种组网方案,可能还需要实现组播的跨VLAN复制。
  (2)接口类型的转变
  传统交换机以百兆接口为主,随着网络业务量的增加,接入型交换机需要具备多个100M以太网接口连接用户,需要具备2-4个千兆接口进行上联。
  (3)用户与交换机端口的绑定支持
  目前的接入大多使用PPPOE接入、或者DHCP分配IP地址的方式,那么为了防止用户名/密码扩散,交换机需要支持PPPOE+DHCP+等增强功能。
 
回复

使用道具 举报

该用户从未签到

 楼主| 发表于 2007-9-18 10:02:51 | 显示全部楼层

RE:浅析以太网交换机的发展趋势

回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 注册/登录

本版积分规则

关闭

站长推荐上一条 /4 下一条



手机版|小黑屋|与非网

GMT+8, 2024-11-23 07:18 , Processed in 0.130963 second(s), 17 queries , MemCache On.

ICP经营许可证 苏B2-20140176  苏ICP备14012660号-2   苏州灵动帧格网络科技有限公司 版权所有.

苏公网安备 32059002001037号

Powered by Discuz! X3.4

Copyright © 2001-2024, Tencent Cloud.