淺析以太網交換機的發展趨勢

——

作者：時間：2007-05-28 來源：中國聯通網站

加入技術交流群
- 掃碼加入
  和技術大咖面對面交流
  海量資料庫查詢

2005年，大中型企業網升級與新網建設主要以萬兆為骨干、干兆為接入，而原來的百兆接入份額不斷下降。從產品結構上看，2005年中國以太網交換機市場中，高端交換機端口的總量為287．6萬端口，占總銷量的14％；中低端交換機的銷售量為1767．9萬端口，占總銷量的86％。與2004年相比， 2005年中國以太網交換機市場高端交換機銷售量增長了20％，中低端交換機增長了11．2％。總體來看，2005年中國以太網交換機市場的特征為：千兆交換機成為市場主要推動力，網絡安全備受關注。

2006年-2010年，中國以太網交換機市場的增長率大概為10％至15％之間。從交換機功能上來說，因為各行業的業務開展對信息化的依賴性越來越大，伴隨著網絡而來的安全問題也愈加受到重視。內部信息失竊、蠕蟲病毒、DOS攻擊，網絡安全問題已經非常突出，因此，要求交換機增加相關的安全功能。

1 交換機安全方面的功能需求

(1)廣播風暴攻擊

假設一個極度充滿惡意的用戶可以發送大流量的廣播數據、組播數據或者目的MAC地址為胡亂構造的單播數據，交換機接收到這些數據時，將以廣播的方式進行轉發，如果交換機不支持對洪泛數據的流量控制，那么網絡的帶寬可能就會被這些垃圾數據充滿，從而網絡中的其它用戶無法正常上網。

因此，交換機需要支持對從每個端口收到的洪泛數據進行速率限制。

(2)數據對網絡進行攻擊

該惡意用戶可以向路由器發送非常大流量的數據，這些數據通過交換機發送給路由器的同時、也占用了該上聯接口的大部分帶寬，那么其它用戶上網也將趕到非常的緩慢。

因此，交換機需限制每個端口進行入方向的速率，不然惡意用戶就可攻擊他所在的網絡、從而影響該網絡內所有的其它用戶。

(3)海量MAC地址攻擊

因為交換機在轉發數據時以MAC地址作為索引，如果數據報的目的MAC地址未知時，將在網絡中以洪泛的方式轉發。所以，惡意用戶可以向網絡內發送大量的垃圾數據，這些數據的源MAC地址不停改變，因為交換機需要不停的進行MAC地址學習、并且交換機的MAC表容量是有限的，當交換機的MAC表被充滿時，原有的MAC地址就會被新學習到的MAC地址覆蓋。這樣，當交換機接收到路由器發送給正常客戶的數據時，由于找不到該客戶MAC的記錄，從而就將以洪泛的方式在網絡內轉發，這樣就大大降低了網絡的轉發性能。

因此，交換機需要能夠限制每個端口能夠學習MAC地址的數量，不然整個網絡就將退化為一個類似于HUB構成的網絡。

(4)MAC欺騙攻擊

惡意用戶為攻擊網絡使之癱瘓，還可將自己的MAC地址改為路由器的MAC地址(稱為MAC-X)，然后不停(并不需要很大的流量，每秒鐘1個就足夠了)地發送給交換機，這樣，交換機就會更新MAC-X的記錄，認為MAC-X位于與該惡意用戶連接的端口上，此時，當其他用戶有數據發送給路由器時，交換機將把這些數據發送給該惡意用戶，這樣發送正常數據的用戶就不能正常上網了(同理，該網絡內所有的用戶都不能上網)。

因此，交換機應具備MAC與端口的綁定功能(即路由器的MAC地址最好在交換機上靜態配置)，否則惡意用戶可簡單地讓網絡陷入崩潰；或交換機需綁定每個端口允許進入網絡的數據的源MAC地址，這樣惡意用戶就不能通過MAC欺騙來攻擊網絡。

(5)ARP欺騙攻擊

惡意用戶可以進行ARP欺騙攻擊，即不管接收到對哪個IP地址發出的ARP請求，都立即發送ARP應答，這樣其它用戶發送的數據也都將發送到惡意用戶的這個MAC地址，這些用戶自然不能正常上網。

因此，交換機應該實現端口與IP地址的綁定功能，即若收到的ARP請求、ARP應答、口數據與綁定的IP不同，即可將這些數據丟棄掉，否則會讓網絡陷入癱瘓。

(6)環路攻擊

用戶在自己家中也安裝一個交換機，并且故意把一根網線的兩端都接到該交換機上構成環路，然后在使用網線把該交換機與網絡中的交換機連接起來，由于整個網絡中存在環路，那么網絡中的MAC地址學習將會錯亂，從而交換機轉發數據時將會產生錯誤，整個網絡也將陷入崩潰。

因此，交換機需具備環路檢測功能，當發現某個端口存在環路時，需將該端口關閉掉。

(7)對交換機GPU進行攻擊

通過前面的設置，惡意用戶向把網絡攻擊癱瘓的企圖已經不能夠實現，該用戶于是向網絡內注入大量交換機必須處理的協議包，比如生成樹的BPDU。由于接入交換機的CPU處理能力一般都比較弱，CPU單位時間處理數據的能力小于這些攻擊數據到來的數量，交換機CPU的收包隊列將快速被攻擊數據充滿，此時，其它發送給該交換機CPU的數據該交換機都不能處理，對于網絡的維護者而言，這臺交換機已經不能管理了。并且，如果交換機還在與其它交換機進行協議交互，那么可能會造成其它更加嚴重的影響，比如，網絡建設的時候為了網絡具備冗余保護能力，而故意在網絡中構造環路，但是通過STP來維護網絡的正常數據轉發。但是如果網絡中的某臺交換機因為遭受攻擊，不能再接收這些協議包，那么網絡就可能進入網絡狀態，那么網絡瞬間就可能陷入崩潰。

因此，交換機必須具備抵御攻擊的能力，而實現該防御的方法就是限制各種類型數據單位時間內進入CPU的數量，另一個更徹底的方法就是在接入用戶的端口上配置ACL，凡是目的MAC地址是交換機MAC地址的數據都全部丟棄(因為為了網絡安全，并不希望用戶訪問交換機)。

上面大致描述了一些以太網交換機安全方面的問題，目前可以完全具備防范上述攻擊的交換機并不多，因此交換機都需要逐漸實現對上述攻擊的防御。

2 交換機其它功能的需求

(1)組播的支持

很多傳統交換機轉發數據時以廣播的方式進行，隨著目前組播業務的發展，交換機需要實現組播的按需轉發。同時相關的一些功能，比如IGMP SNOOP、IGMP PROXY等就必須要能夠支持；同時，交換機為了能夠支持IPTV開展之后的各種組網方案，可能還需要實現組播的跨VLAN復制。

(2)接

口類型的轉變

傳統交換機以百兆接口為主，隨著網絡業務量的增加，接入型交換機需要具備多個100M以太網接口連接用戶，需要具備2-4個千兆接口進行上聯。

(3)用戶與交換機端口的綁定支持

目前的接入大多使用PPPOE接入、或者DHCP分配IP地址的方式，那么為了防止用戶名／密碼擴散，交換機需要支持PPPOE+、DHCP+等增強功能。