【小凡实验室】路由交换机已经成为网络的重要转发设备

小凡实验室

【小凡实验室】路由交换机已经成为网络的重要转发设备

目前我国的路由交换机设备发展非常迅速，同时在网络发展中的也更加的重要，也推动路由技术的更新升级。传统路由交换机主要用于数据包的快速转发，强调转发性能。随着局域网的广泛互连，加上TCP/IP协议本身的开放性，网络安全成为一个突出问题，网络中的敏感数据、机密信息被泄露，重要数据设备被攻击，而路由交换机作为网络环境中重要的转发设备，其原来的安全特性已经无法满足现在的安全需求，因此传统的路由交换机需要增加安全性。

在网络设备厂商看来，加强安全性的交换机是对普通交换机的升级和完善，除了具备一般的功能外，这种交换机还具备普通交换机所不具有的安全策略功能。这种交换机从网络安全和用户业务应用出发，能够实现特定的安全策略，预防病毒和网络攻击，限制非法访问，进行事后分析，有效保障用户网络业务的正常开展。实现安全性的一种作法就是在现有交换机中嵌入各种安全模块。不同用户有不同的需求，25%的用户希望交换机中增加防火墙、VPN、数据加密、身份认证等功能，37%的用户表示需要直接使用安全设备，48%的用户表示两种方式都需要。

在现阶段，由于有过被攻击的经历，绝大多数用户对增强安全性的交换机表示出浓厚兴趣，18%的用户表示在三个月之内购买，29%的用户会在半年之内购买，19%的用户打算在一年之内购买，只有34%的用户表示近期不作考虑。同时，用户对这种加强安全性的交换机的价格也表现出理性态度：8%的用户希望能与传统交换机价格相当，4%的用户接受高于传统交换机20%以上的价格，而88%的用户接受10%～20%的价格上浮。

安全性加强的交换机本身具有抗攻击性，比普通交换机具有更高的智能性和安全保护功能。在系统安全方面，交换机在网络由核心到边缘的整体架构中实现了安全机制，即通过特定技术对网络管理信息进行加密、控制；在接入安全性方面，采用安全接入机制，包括802.1x接入验证、RADIUS/TACACST、MAC地址检验以及各种类型虚网技术等。不仅如此，许多交换机还增加了硬件形式的安全模块，一些具有内网安全功能的交换机则更好地遏制了随着WLAN应用而泛滥的内网安全隐患。目前路由交换机中常用的安全技术包括以下几种。

流量控制技术 把流经端口的异常流量限制在一定的范围内。许多交换机具有基于端口的流量控制功能，能够实现风暴控制、端口保护和端口安全。流量控制功能用于交换机与交换机之间在发生拥塞时通知对方暂时停止发送数据包，以避免报文丢失。广播风暴抑制可以限制广播流量的大小，对超过设定值的广播流量进行丢弃处理。 不过，交换机的流量控制功能只能对经过端口的各类流量进行简单的速率限制，将广播、组播的异常流量限制在一定的范围内，而无法区分哪些是正常流量，哪些是异常流量。同时，如何设定一个合适的阈值也比较困难。

访问控制列表(ACL)技术 ACL通过对网络资源进行访问输入和输出控制，确保网络设备不被非法访问或被用作攻击跳板。ACL是一张规则表，交换机按照顺序执行这些规则，并且处理每一个进入端口的数据包。每条规则根据数据包的属性(如源地址、目的地址和协议)要么允许、要么拒绝数据包通过。由于规则是按照一定顺序处理的，因此每条规则的相对位置对于确定允许和不允许什么样的数据包通过网络至关重要。安全与效率的权衡在我们的调查中，用户对交换机安全问题的关注率高达97%以上。不过大约48%的用户担心增强路由交换机的安全功能会影响网络的吞吐效率，34%的用户表示无所谓，关注安全与效率问题的用户主要是大中型企业。

安全与效率的确是对此消彼长的矛盾。从技术上讲，传统的路由交换机大都采用软件方式，依靠CPU处理能力，来提供安全防御功能。众所周知，病毒攻击对路由交换机性能的影响较大，当网络流量大到一定程度时必然造成交换机瘫痪，网络中断。但对于依靠硬件技术实现了安全功能的交换机来说，在负载范围内，其处理能力是全冗余的，不会影响性能。同时因为数据过滤、智能识别攻击源、策略查找等功能也是基于硬件来实现，从而保证了病毒引起的流量不影响交换机的正常运行。当病毒报文流量大到一定程度，并且是未知类型的病毒时，可能会对路由交换机的正常业务造成影响，具有自我保护功能的交换设备则可以根据优先级设置，丢弃低优先级的、可能具有攻击性的报文，保证高优先级业务不中断，系统稳定运行。从上述分析可以看出，采用先进体系架构的交换设备可以做到保障安全同时保证性能。对于强调效率的用户来说，最好选择依靠硬件实现安全功能的交换机。



小凡余老师QQ：2209293110
小凡韩老师QQ：790668886
小凡黄老师QQ：493073202
小凡贺老师QQ：2652649988
联系电话：010-53662599