三层交换机发动防守反击

虽然新型的运营商城域网用路由器代替了部分三层交换机的功能,但是目前,三层交换机仍然没有退出城域网的竞争,很多地市级运营商仍然大量使用了三层交换机构建城域网的汇聚层,甚至在核心层面上也引入了三层交换机。因此,也对三层交换机的功能和性能提出了更高的要求。

  为适应运营级城域网的要求,目前的三层交换机,尤其是高端三层交换机,在路由转发能力、接口类型、业务能力、QoS以及安全、计费、认证等功能上都有了很大的改进和提高。

  在路由转发能力上,传统的交换机采用“按流转发+精确匹配”的模式,即在CACHE中存储了包括源IP地址和目的IP地址的“精确匹配表”,对数据流进行精确匹配。由于采用了CACHE技术,并采取按流转发的方式,转发速度和效率很高,但受到CACHE容量的限制,当网络规模变大,网络中的地址增多,这种方式就存在着CACHE耗尽的风险,尤其是目前网络上病毒的泛滥,伪造地址的攻击越来越多,大量伪造的IP地址将很快耗尽交换机的资源。因此,目前高端三层交换机也采用了类似路由器的“最长匹配”方式,即不匹配完整的IP地址,只根据网段进行最长匹配,这样就能更好地适应网络规模和流量模式的变化。同时,由于ASIC技术的发展,这种“最长匹配”也可以由硬件来完成,在不影响转发速度的情况下使得三层交换机可以适应更复杂的网络环境。

  传统的三层交换机只支持以太网接口,即10/100M和1000M以太网接口,但随着三层交换机应用于城域网环境,一方面较低的接口速率无法满足城域网核心层面的转发需要;另一方面单一的以太网接口也不能适应城域网与广域网互联的需求。10G以太网的标准(IEEE802.3ae)于2002年6月正式颁布,目前,经过短短三年的发展,大多数主流厂商的高端三层交换机都已经支持了10G以太网接口,这使得企业网、校园网以及运营商城域网的骨干带宽大大增加。同时,在一些高端的三层交换机上也提供了POS、ATM、E1/E3等广域网接口,从而使通过三层交换机实现城域网与广域网的互联成为可能,并且使三层交换机可以更加“方便”的成为城域网的核心层设备。

  传统的三层交换机在路由协议的支持能力方面比较弱,一般只支持RIP等适合小规模网络的域内路由协议。目前的三层交换机不仅可以支持RIP、OSPF等域内路由协议,一些高端的三层交换机还可以支持BGP协议,这样就大大扩展了三层交换机的应用范围。随着VOD等组播业务的迅速发展,要求网络设备也要能够支持组播功能,目前的三层交换机不仅可以支持IGMP协议,而且可以支持PIM-SM/DM、DVMRP等组播路由协议,使得三层交换机既可以部署在网络的边缘,又可以在汇聚层或核心层提供组播业务的支持。

  由于MPLS VPN可以实现用户数据的隔离,同时也可以提供QoS保证,因此正在成为IP城域网中重要的增值业务提供手段。过去的MPLS VPN业务基本上是在路由器上提供的,即由路由器作为PE设备,而目前,在华为、中兴、港湾等国内主流厂商的三层交换机上也提供了MPLS VPN功能,这样可以用位于网络边缘的三层交换机作为PE,为LAN接入的用户更方便的提供MPLS VPN业务。

  提供对业务流的QoS保证是运营级IP城域网的一个基本能力,目前的三层交换机根据其在网络中位置的不同也提供了不同的QoS支持功能。位于网络边缘的三层交换机需要完成业务流分类与流量限制的工作,即根据数据流的特征将业务流区分开来,并赋予其不同的优先级;或对某些业务流的流量进行限制。目前有一些被称之为“智能交换机”的三层交换机设备,可以基于二到七层的各种信息对数据流进行分类,并对命中的数据流采取各种QoS策略,如对数据流“重新着色”、进行接入速率限制(CAR)或流量整形(GTS)等,这样就使得网络边缘的业务感知和流量控制更加灵活方便。位于汇聚/核心层的三层交换机可以根据数据流的优先级(TOS、DSCP,或MPLS标签中的ESP字段)进行队列调度和区分转发。可以说,目前的三层交换机在QoS功能方面与路由器相比已经没有太大的差别。

  在病毒、攻击日益泛滥的今天,网络的安全问题越来越重要,解决安全问题需要在网络边缘支持对非法流量的过滤、对用户的认证等能力。目前的三层交换机基本都支持配置ACL策略,可以根据流量特征对非法数据流进行过滤,或采用流量限制的策略,这样就大大限制了病毒或攻击流量的扩散速度和危害程度。但由于受到ASIC的限制,三层交换机,尤其是中低端的产品所支持的ACL数量大都比较有限,这个缺陷也制约了三层交换机过滤非法流量的能力。对用户进行认证,确保只有合法用户接入网络也是保证网络安全的一个重要方面,三层交换机基本都支持802.1x、PPPOE、Web Portal等认证方式,并结合RADIUS协议提供对用户的认证和计费功能。同时,为防止伪造地址或虚假用户的攻击,一些交换机还提供了MAC、端口、用户名、IP、VLAN等多种信息的绑订功能。

  目前的三层交换机设备已经不仅仅是二层交换加路由功能的简单组合,而是成为了在转发性能、安全特性、QoS等方面都具有较好支持性的,具有多接口类型、多业务支持能力的综合业务承载平台,为了适应电信级网络的需要,许多高端的三层交换机还提供了电源、主控板以及交换板的冗余配置。

文章录入:csh    责任编辑:csh

(0)

相关推荐

  • 三层交换机发动防守反击

    虽然新型的运营商城域网用路由器代替了部分三层交换机的功能,但是目前,三层交换机仍然没有退出城域网的竞争,很多地市级运营商仍然大量使用了三层交换机构建城域网的汇聚层,甚至在核心层面上也引入了三层交换机.因此,也对三层交换机的功能和性能提出了更高的要求. 为适应运营级城域网的要求,目前的三层交换机,尤其是高端三层交换机,在路由转发能力.接口类型.业务能力.QoS以及安全.计费.认证等功能上都有了很大的改进和提高. 在路由转发能力上,传统的交换机采用"按流转发+精确匹配"的模式,即在CACH

  • PHP截取发动短信内容的方法

    废话不多说了,直接给大家贴代码了,具体代码如下所示: $str_tmp = DAdmin_Utils::gbkStrSplit("短信内容", 700);//内容过长返回的是一个截取内容后的数组 700指的是截取的长度 $total = count($str_tmp); $num = 1; foreach($str_tmp as $str) { if($total > 1) { $str = $str . "{$num}/{$total}"; $num ++;

  • 三层交换机的应用及选择

    一. 第三层交换机基本原理简介 第三层交换机,实际上就好象是将传统交换器与传统路由器结合起来的网络设备,它既可以完成传统交换机的端口交换功能,又可完成部分路由器的路由功能.当然,这种二层设备与三层设备的结合,并不是简单的物理结合,而是各取所长的逻辑结合,其中最重要的表现是,当某一信息源的第一个数据流进入第三层交换机后,其中的路由系统将会产生一个MAC地址与IP地址映射表,并将该表存储起来,当同一信息源的后续数据流再次进入第三层交换时,交换机将根据第一次产生并保存的地址映射表,直接从二层由源地址传

  • 二层交换机,三层交换机,四层交换机的区别

    (一)二层交换 二层交换技术是发展比较成熟,二层交换机属数据链路层设备,可以识别数据包中的MAC地址信息,根据MAC地址进行转发,并将这些MAC地址与对应的端口记录在自己内部的一个地址表中.具体的工作流程如下: (1) 当交换机从某个端口收到一个数据包,它先读取包头中的源MAC地址,这样它就知道源MAC地址的机器是连在哪个端口上的:(2) 再去读取包头中的目的MAC地址,并在地址表中查找相应的端口:(3) 如表中有与这目的MAC地址对应的端口,把数据包直接复制到这端口上: (4) 如表中找不到相

  • 三层交换机的智能流处理技术

    电脑网络的普及和应用范围的扩大正改变着我们的世界,同时也改变着我们的思维与生活方式.网络技术的不断发展使我们更多地关心迈入数字化.信息化时代之后人们将如何利用电脑,如何利用网络为人类自身营造更大的生活空间. 一.高带宽带来的新课题 在现代的数据通信领域,人们的思维跳跃速度已经无法跟上网络带宽的增长速度,而通信设备的网络承载容量是由不断增长的数据流量处理需求和基于解决并发的数据流的处理能力来推动的.随着网络带宽的不断提高,传统的网络数据处理方法和对于数据流的分配方式已经不能满足大容量数据流的吞吐需

  • 一次真实的DDoS攻击防御实战

    第一轮进攻: 时间:下午15点30左右 突然发现公司的web server无法访问,尝试远程登录,无法连接,呼叫idc重启服务器.启动后立即登录察看,发现攻击还在继续,并且apache所有230个进程全部处于工作状态.由于服务器较老,内存只有512m,于是系统开始用swap,系统进入停顿状态.于是杀掉所有httpd,稍后服务器恢复正常,load从140降回正常值. 开始抓包,发现流量很小,似乎攻击已经停止,尝试启动httpd,系统正常.察看httpd日志,发现来自五湖四海的IP在尝试login.

  • DDoS攻击的趋势与相关防御策略

    一.阻断服务(Denial of Service) 在探讨 DDoS 之前我们需要先对 DoS 有所了解,DoS泛指黑客试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话.而以网络来说,由于频宽.网络设备和服务器主机等处理的能力都有其限制,因此当黑客产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务.例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢. DoS 攻击并非入侵主机也

  • 冲浪DDoS(拒绝服务)攻击的趋势与防御

    一.阻断服务(Denial of Service) 在探讨DDoS 之前我们需要先对 DoS 有所了解,DoS泛指黑客试图妨碍正常使用者使用网络上的服务,例如剪断大楼的电话线路造成用户无法通话.而以网络来说,由于频宽.网络设备和服务器主机等处理的能力都有其限制,因此当黑客产生过量的网络封包使得设备处理不及,即可让正常的使用者无法正常使用该服务.例如黑客试图用大量封包攻击一般频宽相对小得多的拨接或 ADSL 使用者,则受害者就会发现他要连的网站连不上或是反应十分缓慢. DoS 攻击并非入侵主机也不

  • 从断网事件分析DNS服务器拒绝服务攻击

    从断网事件分析DNS服务器拒绝服务攻击

    事件原因和分析 此次事件是一次联动事件,主要分为两个部分: 1.DNSPod站点的DNS服务器被超过10Gbps流量的DDoS攻击击垮疑似因为是网络游戏私服之间的相互争夺生意,导致一家私服运营商发动了上千台僵尸主机对DNSPod发动了DDoS洪水攻击,导致DNS服务器过载以及线路堵塞. 2.暴风影音的大量频繁的向电信DNS主服务器发起解析.导致各地区电信主DNS服务器超负荷. 暴风影音作为广泛使用的软件,有成千上万的用户安装使用.然而其DNS解析机制存在缺陷.暴风公司仅仅在DNSPod站内部署了

  • 如何突破各种防火墙的防护

    现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的.下面谈谈有防火墙环境下的攻击和检测. 一 防火墙基本原理 首先,我们需要了解一些基本的防火墙实现原理.防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙.但是他们的基本实现都是类似的. │ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │ 防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络.当打开主机网络转

随机推荐