新聞中心

EEPW首頁 > 手機與無線通信 > 設(shè)計應用 > 淺析以太網(wǎng)交換機的發(fā)展趨勢

淺析以太網(wǎng)交換機的發(fā)展趨勢

——
作者: 時間:2007-05-28 來源:中國聯(lián)通網(wǎng)站 收藏
2005年,大中型企業(yè)網(wǎng)升級與新網(wǎng)建設(shè)主要以萬兆為骨干、干兆為接入,而原來的百兆接入份額不斷下降。從產(chǎn)品結(jié)構(gòu)上看,2005年中國市場中,高端端口的總量為287.6萬端口,占總銷量的14%;中低端的銷售量為1767.9萬端口,占總銷量的86%。與2004年相比, 2005年中國交換機市場高端交換機銷售量增長了20%,中低端交換機增長了11.2%??傮w來看,2005年中國交換機市場的特征為:千兆交換機成為市場主要推動力,安全備受關(guān)注。

2006年-2010年,中國以太網(wǎng)交換機市場的增長率大概為10%至15%之間。從交換機功能上來說,因為各行業(yè)的業(yè)務開展對信息化的依賴性越來越大,伴隨著而來的安全問題也愈加受到重視。內(nèi)部信息失竊、蠕蟲病毒、DOS攻擊,安全問題已經(jīng)非常突出,因此,要求交換機增加相關(guān)的安全功能。

1 交換機安全方面的功能需求

(1)廣播風暴攻擊

假設(shè)一個極度充滿惡意的用戶可以發(fā)送大流量的廣播數(shù)據(jù)、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù),交換機接收到這些數(shù)據(jù)時,將以廣播的方式進行轉(zhuǎn)發(fā),如果交換機不 支持對洪泛數(shù)據(jù)的流量控制,那么網(wǎng)絡的帶寬可能就會被這些垃圾數(shù)據(jù)充滿,從而網(wǎng)絡中的其它用戶無法正常上網(wǎng)。

因此,交換機需要支持對從每個端口收到的洪泛數(shù)據(jù)進行速率限制。

(2)數(shù)據(jù)對網(wǎng)絡進行攻擊

該惡意用戶可以向路由器發(fā)送非常大流量的數(shù)據(jù),這些數(shù)據(jù)通過交換機發(fā)送給路由器的同時、也占用了該上聯(lián)接口的大部分帶寬,那么其它用戶上網(wǎng)也將趕到非常的緩慢。

因此,交換機需限制每個端口進行入方向的速率,不然惡意用戶就可攻擊他所在的網(wǎng)絡、從而影響該網(wǎng)絡內(nèi)所有的其它用戶。

(3)海量MAC地址攻擊

因為交換機在轉(zhuǎn)發(fā)數(shù)據(jù)時以MAC地址作為索引,如果數(shù)據(jù)報的目的MAC地址未知時,將在網(wǎng)絡中以洪泛的方式轉(zhuǎn)發(fā)。所以,惡意用戶可以向網(wǎng)絡內(nèi)發(fā)送大量的垃圾數(shù)據(jù),這些數(shù)據(jù)的源MAC地址不停改變,因為交換機需要不停的進行MAC地址學習、并且交換機的MAC表容量是有限的,當交換機的MAC表被充滿時,原有的MAC地址就會被新學習到的MAC地址覆蓋。這樣,當交換機接收到路由器發(fā)送給正??蛻舻臄?shù)據(jù)時,由于找不到該客戶MAC的記錄,從而就將以洪泛的方式在網(wǎng)絡內(nèi)轉(zhuǎn)發(fā),這樣就大大降低了網(wǎng)絡的轉(zhuǎn)發(fā)性能。

因此,交換機需要能夠限制每個端口能夠?qū)W習MAC地址的數(shù)量,不然整個網(wǎng)絡就將退化為一個類似于HUB構(gòu)成的網(wǎng)絡。

(4)MAC欺騙攻擊

惡意用戶為攻擊網(wǎng)絡使之癱瘓,還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X),然后不停(并不需要很大的流量,每秒鐘1個就足夠了)地發(fā)送給交換機,這樣,交換機就會更新MAC-X的記錄,認為MAC-X位于與該惡意用戶連接的端口上,此時,當其他用戶有數(shù)據(jù)發(fā)送給路由器時,交換機將把這些數(shù)據(jù)發(fā)送給該惡意用戶,這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了(同理,該網(wǎng)絡內(nèi)所有的用戶都不能上網(wǎng))。

因此,交換機應具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機上靜態(tài)配置),否則惡意用戶可簡單地讓網(wǎng)絡陷入崩潰;或交換機需綁定每個端口允許進入網(wǎng)絡的數(shù)據(jù)的源MAC地址,這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡。

(5)ARP欺騙攻擊

惡意用戶可以進行ARP欺騙攻擊,即不管接收到對哪個IP地址發(fā)出的ARP請求,都立即發(fā)送ARP應答,這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址,這些用戶自然不能正常上網(wǎng)。

因此,交換機應該實現(xiàn)端口與IP地址的綁定功能,即若收到的ARP請求、ARP應答、口數(shù)據(jù)與綁定的IP不同,即可將這些數(shù)據(jù)丟棄掉,否則會讓網(wǎng)絡陷入癱瘓。

(6)環(huán)路攻擊

用戶在自己家中也安裝一個交換機,并且故意把一根網(wǎng)線的兩端都接到該交換機上構(gòu)成環(huán)路,然后在使用網(wǎng)線把該交換機與網(wǎng)絡中的交換機連接起來,由于整個網(wǎng)絡中存在環(huán)路,那么網(wǎng)絡中的MAC地址學習將會錯亂,從而交換機轉(zhuǎn)發(fā)數(shù)據(jù)時將會產(chǎn)生錯誤,整個網(wǎng)絡也將陷入崩潰。

因此,交換機需具備環(huán)路檢測功能,當發(fā)現(xiàn)某個端口存在環(huán)路時,需將該端口關(guān)閉掉。

(7)對交換機GPU進行攻擊

通過前面的設(shè)置,惡意用戶向把網(wǎng)絡攻擊癱瘓的企圖已經(jīng)不能夠?qū)崿F(xiàn),該用戶于是向網(wǎng)絡內(nèi)注入大量交換機必須處理的協(xié)議包,比如生成樹的BPDU。由于接入交換機的CPU處理能力一般都比較弱,CPU單位時間處理數(shù)據(jù)的能力小于這些攻擊數(shù)據(jù)到來的數(shù)量,交換機CPU的收包隊列將快速被攻擊數(shù)據(jù)充滿,此時,其它發(fā)送給該交換機CPU的數(shù)據(jù)該交換機都不能處理,對于網(wǎng)絡的維護者而言,這臺交換機已經(jīng)不能管理了。并且,如果交換機還在與其它交換機進行協(xié)議交互,那么可能會造成其它更加嚴重的影響,比如,網(wǎng)絡建設(shè)的時候為了網(wǎng)絡具備冗余保護能力,而故意在網(wǎng)絡中構(gòu)造環(huán)路,但是通過STP來維護網(wǎng)絡的正常數(shù)據(jù)轉(zhuǎn)發(fā)。但是如果網(wǎng)絡中的某臺交換機因為遭受攻擊,不能再接收這些協(xié)議包,那么網(wǎng)絡就可能進入網(wǎng)絡狀態(tài),那么網(wǎng)絡瞬間就可能陷入崩潰。

因此,交換機必須具備抵御攻擊的能力,而實現(xiàn)該防御的方法就是限制各種類型數(shù)據(jù)單位時間內(nèi)進入CPU的數(shù)量,另一個更徹底的方法就是在接入用戶的端口上配置ACL,凡是目的MAC地址是交換機MAC地址的數(shù)據(jù)都全部丟棄(因為為了網(wǎng)絡安全,并不希望用戶訪問交換機)。

上面大致描述了一些以太網(wǎng)交換機安全方面的問題,目前可以完全具備防范上述攻擊的交換機并不多,因此交換機都需要逐漸實現(xiàn)對上述攻擊的防御。

2 交換機其它功能的需求

(1)組播的支持

很多傳統(tǒng)交換機轉(zhuǎn)發(fā)數(shù)據(jù)時以廣播的方式進行,隨著目前組播業(yè)務的發(fā)展,交換機需要實現(xiàn)組播的按需轉(zhuǎn)發(fā)。同時相關(guān)的一些功能,比如IGMP SNOOP、IGMP PROXY等就必須要能夠支持;同時,交換機為了能夠支持IPTV開展之后的各種組網(wǎng)方案,可能還需要實現(xiàn)組播的跨VLAN復制。

(2)接

 
口類型的轉(zhuǎn)變

傳統(tǒng)交換機以百兆接口為主,隨著網(wǎng)絡業(yè)務量的增加,接入型交換機需要具備多個100M以太網(wǎng)接口連接用戶,需要具備2-4個千兆接口進行上聯(lián)。

(3)用戶與交換機端口的綁定支持

目前的接入大多使用PPPOE接入、或者DHCP分配IP地址的方式,那么為了防止用戶名/密碼擴散,交換機需要支持PPPOE+、DHCP+等增強功能。

交換機相關(guān)文章:交換機工作原理




評論


相關(guān)推薦

技術(shù)專區(qū)

關(guān)閉