未來以太網(wǎng)交換機發(fā)展趨勢分析

隨著我國網(wǎng)絡(luò)信息步驟的加快，其以太網(wǎng)交換技術(shù)的發(fā)展也隨著信息網(wǎng)絡(luò)市場的發(fā)展也不斷改變自身的技術(shù)屬性以達(dá)到市場要求。

以太網(wǎng)交換機技術(shù)發(fā)展趨勢近幾年來，隨著企業(yè)數(shù)據(jù)通信業(yè)務(wù)以及相關(guān)的融合業(yè)務(wù)的迅猛發(fā)展，以太網(wǎng)交換機作為不可或缺的要害設(shè)備不僅在數(shù)量上獲得了極大的提高，而且在質(zhì)量、性能等方面不斷完善。

企業(yè)的信息應(yīng)用正在全面走向?qū)拵Щ腿诤匣?，在這一背景下，傳統(tǒng)的實現(xiàn)簡單連接和數(shù)據(jù)傳輸功能的以太網(wǎng)交換機已成為過去，縱觀當(dāng)前整個發(fā)展趨勢，我們發(fā)現(xiàn)以太網(wǎng)交換機正朝著高速化、智能化的方向前進(jìn)。

首先，速度是我們衡量網(wǎng)絡(luò)性能的一個重要標(biāo)準(zhǔn)，從而也就成為以太網(wǎng)交換機等設(shè)備發(fā)展的一個重要方向。從最初的百兆到千兆再到萬兆，以太網(wǎng)不斷滿足著人們快速增長的需求，給人們帶來超乎平常的體驗。

目前，人們對帶寬的要求正在迅速提高，如迅猛發(fā)展的存儲網(wǎng)絡(luò)必需的海量數(shù)據(jù)傳輸通道;大量高帶寬匯聚的城域網(wǎng)絡(luò);

不斷豐富的寬帶應(yīng)用所需的帶寬支持;大型金融機構(gòu)的數(shù)據(jù)集中;企業(yè)核心業(yè)務(wù)、ERP、CRM等復(fù)雜的應(yīng)用擴展。今天，千兆為骨干、百兆為接入的主流結(jié)構(gòu)，將逐漸向萬兆為骨干、千兆為接入的結(jié)構(gòu)過渡。

其次是智能化，這里所指的智能化不僅包括交換機設(shè)備智能化的治理，還包括它們對越來越多的智能業(yè)務(wù)的支持。隨著網(wǎng)絡(luò)部署新應(yīng)用和融合多業(yè)務(wù)的需求日益迫切，單一交換機需要擁有豐富的功能以提供更多的支持，與此同時，復(fù)雜的網(wǎng)絡(luò)環(huán)境加劇了網(wǎng)絡(luò)治理的難度，通過智能交換設(shè)備進(jìn)行網(wǎng)絡(luò)的集中治理，不僅簡化了治理步驟，而且降低了部署和維護(hù)的成本。

而伴隨著以太網(wǎng)交換機的迅速普及，它的安全問題也日益受到相關(guān)重視，我們目前要應(yīng)對以下這些方面：

(1)廣播風(fēng)暴攻擊

假設(shè)一個極度充滿惡意的用戶可以發(fā)送大流量的廣播數(shù)據(jù)、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù)，交換機接收到這些數(shù)據(jù)時，將以廣播的方式進(jìn)行轉(zhuǎn)發(fā)，如果交換機不

支持對洪泛數(shù)據(jù)的流量控制，那么網(wǎng)絡(luò)的帶寬可能就會被這些垃圾數(shù)據(jù)充滿，從而網(wǎng)絡(luò)中的其它用戶無法正常上網(wǎng)。

因此，交換機需要支持對從每個端口收到的洪泛數(shù)據(jù)進(jìn)行速率限制。

(2)數(shù)據(jù)對網(wǎng)絡(luò)進(jìn)行攻擊

該惡意用戶可以向路由器發(fā)送非常大流量的數(shù)據(jù)，這些數(shù)據(jù)通過交換機發(fā)送給路由器的同時、也占用了該上聯(lián)接口的大部分帶寬，那么其它用戶上網(wǎng)也將趕到非常的緩慢。

因此，交換機需限制每個端口進(jìn)行入方向的速率，不然惡意用戶就可攻擊他所在的網(wǎng)絡(luò)、從而影響該網(wǎng)絡(luò)內(nèi)所有的其它用戶。

(3)海量MAC地址攻擊

因為交換機在轉(zhuǎn)發(fā)數(shù)據(jù)時以MAC地址作為索引，如果數(shù)據(jù)報的目的MAC地址未知時，將在網(wǎng)絡(luò)中以洪泛的方式轉(zhuǎn)發(fā)。所以，惡意用戶可以向網(wǎng)絡(luò)內(nèi)發(fā)送大量的垃圾數(shù)據(jù)，這些數(shù)據(jù)的源MAC地址不停改變，因為交換機需要不停的進(jìn)行MAC地址學(xué)習(xí)、并且交換機的MAC表容量是有限的，當(dāng)交換機的MAC表被充滿時，原有的MAC地址就會被新學(xué)習(xí)到的MAC地址覆蓋。這樣，當(dāng)交換機接收到路由器發(fā)送給正?？蛻舻臄?shù)據(jù)時，由于找不到該客戶MAC的記錄，從而就將以洪泛的方式在網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)，這樣就大大降低了網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能。

因此，交換機需要能夠限制每個端口能夠?qū)W習(xí)MAC地址的數(shù)量，不然整個網(wǎng)絡(luò)就將退化為一個類似于HUB構(gòu)成的網(wǎng)絡(luò)。

(4)MAC欺騙攻擊

惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓，還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X)，然后不停(并不需要很大的流量，每秒鐘1個就足夠了)地發(fā)送給交換機，這樣，交換機就會更新MAC-X的記錄，認(rèn)為MAC-X位于與該惡意用戶連接的端口上，此時，當(dāng)其他用戶有數(shù)據(jù)發(fā)送給路由器時，交換機將把這些數(shù)據(jù)發(fā)送給該惡意用戶，這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了(同理，該網(wǎng)絡(luò)內(nèi)所有的用戶都不能上網(wǎng))。

因此，交換機應(yīng)具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機上靜態(tài)配置)，否則惡意用戶可簡單地讓網(wǎng)絡(luò)陷入崩潰;或交換機需綁定每個端口允許進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址，這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)。

(5)ARP欺騙攻擊

惡意用戶可以進(jìn)行ARP欺騙攻擊，即不管接收到對哪個IP地址發(fā)出的ARP請求，都立即發(fā)送ARP應(yīng)答，這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個MAC地址，這些用戶自然不能正常上網(wǎng)。

因此，交換機應(yīng)該實現(xiàn)端口與IP地址的綁定功能，即若收到的ARP請求、ARP應(yīng)答、口數(shù)據(jù)與綁定的IP不同，即可將這些數(shù)據(jù)丟棄掉，否則會讓網(wǎng)絡(luò)陷入癱瘓。

(6)環(huán)路攻擊

用戶在自己家中也安裝一個交換機，并且故意把一根網(wǎng)線的兩端都接到該交換機上構(gòu)成環(huán)路，然后在使用網(wǎng)線把該交換機與網(wǎng)絡(luò)中的交換機連接起來，由于整個網(wǎng)絡(luò)中存在環(huán)路，那么網(wǎng)絡(luò)中的MAC地址學(xué)習(xí)將會錯亂，從而交換機轉(zhuǎn)發(fā)數(shù)據(jù)時將會產(chǎn)生錯誤，整個網(wǎng)絡(luò)也將陷入崩潰。

因此，交換機需具備環(huán)路檢測功能，當(dāng)發(fā)現(xiàn)某個端口存在環(huán)路時，需將該端口關(guān)閉掉。

與此同時，雖然我們在以太網(wǎng)交換機的應(yīng)用上還要面臨這么多的安全問題，但是，現(xiàn)在及未來，隨著我國信息網(wǎng)絡(luò)的覆蓋范圍不斷擴大，它的普及應(yīng)用也將越來越廣泛，可以預(yù)見的是伴隨著技術(shù)的不斷進(jìn)步和人們需求的不斷增加，以太網(wǎng)交換機市場也迎來了強勁的發(fā)展勢頭。