淺析以太網(wǎng)交換機(jī)的發(fā)展趨勢(shì)

2006年-2010年，中國(guó)以太網(wǎng)交換機(jī)市場(chǎng)的增長(zhǎng)率大概為10％至15％之間。從交換機(jī)功能上來說，因?yàn)楦餍袠I(yè)的業(yè)務(wù)開展對(duì)信息化的依賴性越來越大，伴隨著網(wǎng)絡(luò)而來的安全問題也愈加受到重視。內(nèi)部信息失竊、蠕蟲病毒、DOS攻擊，網(wǎng)絡(luò)安全問題已經(jīng)非常突出，因此，要求交換機(jī)增加相關(guān)的安全功能。

1 交換機(jī)安全方面的功能需求

(1)廣播風(fēng)暴攻擊

假設(shè)一個(gè)極度充滿惡意的用戶可以發(fā)送大流量的廣播數(shù)據(jù)、組播數(shù)據(jù)或者目的MAC地址為胡亂構(gòu)造的單播數(shù)據(jù)，交換機(jī)接收到這些數(shù)據(jù)時(shí)，將以廣播的方式進(jìn)行轉(zhuǎn)發(fā)，如果交換機(jī)不 支持對(duì)洪泛數(shù)據(jù)的流量控制，那么網(wǎng)絡(luò)的帶寬可能就會(huì)被這些垃圾數(shù)據(jù)充滿，從而網(wǎng)絡(luò)中的其它用戶無法正常上網(wǎng)。

因此，交換機(jī)需要支持對(duì)從每個(gè)端口收到的洪泛數(shù)據(jù)進(jìn)行速率限制。

(2)數(shù)據(jù)對(duì)網(wǎng)絡(luò)進(jìn)行攻擊

該惡意用戶可以向路由器發(fā)送非常大流量的數(shù)據(jù)，這些數(shù)據(jù)通過交換機(jī)發(fā)送給路由器的同時(shí)、也占用了該上聯(lián)接口的大部分帶寬，那么其它用戶上網(wǎng)也將趕到非常的緩慢。

因此，交換機(jī)需限制每個(gè)端口進(jìn)行入方向的速率，不然惡意用戶就可攻擊他所在的網(wǎng)絡(luò)、從而影響該網(wǎng)絡(luò)內(nèi)所有的其它用戶。

(3)海量MAC地址攻擊

因?yàn)榻粨Q機(jī)在轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)以MAC地址作為索引，如果數(shù)據(jù)報(bào)的目的MAC地址未知時(shí)，將在網(wǎng)絡(luò)中以洪泛的方式轉(zhuǎn)發(fā)。所以，惡意用戶可以向網(wǎng)絡(luò)內(nèi)發(fā)送大量的垃圾數(shù)據(jù)，這些數(shù)據(jù)的源MAC地址不停改變，因?yàn)榻粨Q機(jī)需要不停的進(jìn)行MAC地址學(xué)習(xí)、并且交換機(jī)的MAC表容量是有限的，當(dāng)交換機(jī)的MAC表被充滿時(shí)，原有的MAC地址就會(huì)被新學(xué)習(xí)到的MAC地址覆蓋。這樣，當(dāng)交換機(jī)接收到路由器發(fā)送給正?？蛻舻臄?shù)據(jù)時(shí)，由于找不到該客戶MAC的記錄，從而就將以洪泛的方式在網(wǎng)絡(luò)內(nèi)轉(zhuǎn)發(fā)，這樣就大大降低了網(wǎng)絡(luò)的轉(zhuǎn)發(fā)性能。

因此，交換機(jī)需要能夠限制每個(gè)端口能夠?qū)W習(xí)MAC地址的數(shù)量，不然整個(gè)網(wǎng)絡(luò)就將退化為一個(gè)類似于HUB構(gòu)成的網(wǎng)絡(luò)。

(4)MAC欺騙攻擊

惡意用戶為攻擊網(wǎng)絡(luò)使之癱瘓，還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X)，然后不停(并不需要很大的流量，每秒鐘1個(gè)就足夠了)地發(fā)送給交換機(jī)，這樣，交換機(jī)就會(huì)更新MAC-X的記錄，認(rèn)為MAC-X位于與該惡意用戶連接的端口上，此時(shí)，當(dāng)其他用戶有數(shù)據(jù)發(fā)送給路由器時(shí)，交換機(jī)將把這些數(shù)據(jù)發(fā)送給該惡意用戶，這樣發(fā)送正常數(shù)據(jù)的用戶就不能正常上網(wǎng)了(同理，該網(wǎng)絡(luò)內(nèi)所有的用戶都不能上網(wǎng))。

因此，交換機(jī)應(yīng)具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機(jī)上靜態(tài)配置)，否則惡意用戶可簡(jiǎn)單地讓網(wǎng)絡(luò)陷入崩潰；或交換機(jī)需綁定每個(gè)端口允許進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)的源MAC地址，這樣惡意用戶就不能通過MAC欺騙來攻擊網(wǎng)絡(luò)。

(5)ARP欺騙攻擊

惡意用戶可以進(jìn)行ARP欺騙攻擊，即不管接收到對(duì)哪個(gè)IP地址發(fā)出的ARP請(qǐng)求，都立即發(fā)送ARP應(yīng)答，這樣其它用戶發(fā)送的數(shù)據(jù)也都將發(fā)送到惡意用戶的這個(gè)MAC地址，這些用戶自然不能正常上網(wǎng)。

因此，交換機(jī)應(yīng)該實(shí)現(xiàn)端口與IP地址的綁定功能，即若收到的ARP請(qǐng)求、ARP應(yīng)答、口數(shù)據(jù)與綁定的IP不同，即可將這些數(shù)據(jù)丟棄掉，否則會(huì)讓網(wǎng)絡(luò)陷入癱瘓。

(6)環(huán)路攻擊

用戶在自己家中也安裝一個(gè)交換機(jī)，并且故意把一根網(wǎng)線的兩端都接到該交換機(jī)上構(gòu)成環(huán)路，然后在使用網(wǎng)線把該交換機(jī)與網(wǎng)絡(luò)中的交換機(jī)連接起來，由于整個(gè)網(wǎng)絡(luò)中存在環(huán)路，那么網(wǎng)絡(luò)中的MAC地址學(xué)習(xí)將會(huì)錯(cuò)亂，從而交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)將會(huì)產(chǎn)生錯(cuò)誤，整個(gè)網(wǎng)絡(luò)也將陷入崩潰。

因此，交換機(jī)需具備環(huán)路檢測(cè)功能，當(dāng)發(fā)現(xiàn)某個(gè)端口存在環(huán)路時(shí)，需將該端口關(guān)閉掉。

(7)對(duì)交換機(jī)GPU進(jìn)行攻擊

通過前面的設(shè)置，惡意用戶向把網(wǎng)絡(luò)攻擊癱瘓的企圖已經(jīng)不能夠?qū)崿F(xiàn)，該用戶于是向網(wǎng)絡(luò)內(nèi)注入大量交換機(jī)必須處理的協(xié)議包，比如生成樹的BPDU。由于接入交換機(jī)的CPU處理能力一般都比較弱，CPU單位時(shí)間處理數(shù)據(jù)的能力小于這些攻擊數(shù)據(jù)到來的數(shù)量，交換機(jī)CPU的收包隊(duì)列將快速被攻擊數(shù)據(jù)充滿，此時(shí)，其它發(fā)送給該交換機(jī)CPU的數(shù)據(jù)該交換機(jī)都不能處理，對(duì)于網(wǎng)絡(luò)的維護(hù)者而言，這臺(tái)交換機(jī)已經(jīng)不能管理了。并且，如果交換機(jī)還在與其它交換機(jī)進(jìn)行協(xié)議交互，那么可能會(huì)造成其它更加嚴(yán)重的影響，比如，網(wǎng)絡(luò)建設(shè)的時(shí)候?yàn)榱司W(wǎng)絡(luò)具備冗余保護(hù)能力，而故意在網(wǎng)絡(luò)中構(gòu)造環(huán)路，但是通過STP來維護(hù)網(wǎng)絡(luò)的正常數(shù)據(jù)轉(zhuǎn)發(fā)。但是如果網(wǎng)絡(luò)中的某臺(tái)交換機(jī)因?yàn)樵馐芄簦荒茉俳邮者@些協(xié)議包，那么網(wǎng)絡(luò)就可能進(jìn)入網(wǎng)絡(luò)狀態(tài)，那么網(wǎng)絡(luò)瞬間就可能陷入崩潰。

因此，交換機(jī)必須具備抵御攻擊的能力，而實(shí)現(xiàn)該防御的方法就是限制各種類型數(shù)據(jù)單位時(shí)間內(nèi)進(jìn)入CPU的數(shù)量，另一個(gè)更徹底的方法就是在接入用戶的端口上配置ACL，凡是目的MAC地址是交換機(jī)MAC地址的數(shù)據(jù)都全部丟棄(因?yàn)闉榱司W(wǎng)絡(luò)安全，并不希望用戶訪問交換機(jī))。

上面大致描述了一些以太網(wǎng)交換機(jī)安全方面的問題，目前可以完全具備防范上述攻擊的交換機(jī)并不多，因此交換機(jī)都需要逐漸實(shí)現(xiàn)對(duì)上述攻擊的防御。

2 交換機(jī)其它功能的需求

(1)組播的支持

很多傳統(tǒng)交換機(jī)轉(zhuǎn)發(fā)數(shù)據(jù)時(shí)以廣播的方式進(jìn)行，隨著目前組播業(yè)務(wù)的發(fā)展，交換機(jī)需要實(shí)現(xiàn)組播的按需轉(zhuǎn)發(fā)。同時(shí)相關(guān)的一些功能，比如IGMP SNOOP、IGMP PROXY等就必須要能夠支持；同時(shí)，交換機(jī)為了能夠支持IPTV開展之后的各種組網(wǎng)方案，可能還需要實(shí)現(xiàn)組播的跨VLAN復(fù)制。

(2)接

傳統(tǒng)交換機(jī)以百兆接口為主，隨著網(wǎng)絡(luò)業(yè)務(wù)量的增加，接入型交換機(jī)需要具備多個(gè)100M以太網(wǎng)接口連接用戶，需要具備2-4個(gè)千兆接口進(jìn)行上聯(lián)。

(3)用戶與交換機(jī)端口的綁定支持

目前的接入大多使用PPPOE接入、或者DHCP分配IP地址的方式，那么為了防止用戶名／密碼擴(kuò)散，交換機(jī)需要支持PPPOE+、DHCP+等增強(qiáng)功能。