我想知道交換機(jī)在微觀方面是怎樣工作的,他的結(jié)構(gòu)、組成是怎樣的,還有我知道交換機(jī)可以防毒,他的工作原理是什么?請高手詳細(xì)剖析以下
熱心網(wǎng)友
工作原理: 交換技術(shù)允許共享型和專用型的局域網(wǎng)段進(jìn)行帶寬調(diào)整,以減輕局域網(wǎng)之間信息流通出現(xiàn)的瓶頸問題。現(xiàn)在已有以太網(wǎng)、快速以太網(wǎng)、FDDI和ATM技術(shù)的交換產(chǎn)品。 類似傳統(tǒng)的橋接器,交換機(jī)提供了許多網(wǎng)絡(luò)互聯(lián)功能。交換機(jī)能經(jīng)濟(jì)地將網(wǎng)絡(luò)分成小的沖突網(wǎng)域,為每個工作站提供更高的帶寬。協(xié)議的透明性使得交換機(jī)在軟件配置簡單的情況下直接安裝在多協(xié)議網(wǎng)絡(luò)中;交換機(jī)使用現(xiàn)有的電纜、中繼器、集線器和工作站的網(wǎng)卡,不必作高層的硬件升級;交換機(jī)對工作站是透明的,這樣管理開銷低廉,簡化了網(wǎng)絡(luò)節(jié)點(diǎn)的增加、移動和網(wǎng)絡(luò)變化的操作。 利用專門設(shè)計(jì)的集成電路可使交換機(jī)以線路速率在所有的端口并行轉(zhuǎn)發(fā)信息,提供了比傳統(tǒng)橋接器高得多的操作性能。如理論上單個以太網(wǎng)端口對含有64個八進(jìn)制數(shù)的數(shù)據(jù)包,可提供14880bps的傳輸速率。這意味著一臺具有12個端口、支持6道并行數(shù)據(jù)流的“線路速率”以太網(wǎng)交換器必須提供89280bps的總體吞吐率(6道信息流X14880bps/道信息流)。專用集成電路技術(shù)使得交換器在更多端口的情況下以上述性能運(yùn)行,其端口造價低于傳統(tǒng)型橋接器。 三種交換技術(shù) 1.端口交換 端口交換技術(shù)最早出現(xiàn)在插槽式的集線器中,這類集線器的背板通常劃分有多條以太網(wǎng)段(每條網(wǎng)段為一個廣播域),不用網(wǎng)橋或路由連接,網(wǎng)絡(luò)之間是互不相通的。以大主模塊插入后通常被分配到某個背板的網(wǎng)段上,端口交換用于將以太模塊的端口在背板的多個網(wǎng)段之間進(jìn)行分配、平衡。根據(jù)支持的程度,端口交換還可細(xì)分為: ·模塊交換:將整個模塊進(jìn)行網(wǎng)段遷移。 ·端口組交換:通常模塊上的端口被劃分為若干組,每組端口允許進(jìn)行網(wǎng)段遷移。 ·端口級交換:支持每個端口在不同網(wǎng)段之間進(jìn)行遷移。這種交換技術(shù)是基于OSI第一層上完成的,具有靈活性和負(fù)載平衡能力等優(yōu)點(diǎn)。如果配置得當(dāng),那么還可以在一定程度進(jìn)行客錯,但沒有改變共享傳輸介質(zhì)的特點(diǎn),自而未能稱之為真正的交換。 2.幀交換 幀交換是目前應(yīng)用最廣的局域網(wǎng)交換技術(shù),它通過對傳統(tǒng)傳輸媒介進(jìn)行微分段,提供并行傳送的機(jī)制,以減小沖突域,獲得高的帶寬。一般來講每個公司的產(chǎn)品的實(shí)現(xiàn)技術(shù)均會有差異,但對網(wǎng)絡(luò)幀的處理方式一般有以下幾種: ·直通交換:提供線速處理能力,交換機(jī)只讀出網(wǎng)絡(luò)幀的前14個字節(jié),便將網(wǎng)絡(luò)幀傳送到相應(yīng)的端口上。 ·存儲轉(zhuǎn)發(fā):通過對網(wǎng)絡(luò)幀的讀取進(jìn)行驗(yàn)錯和控制。 前一種方法的交換速度非常快,但缺乏對網(wǎng)絡(luò)幀進(jìn)行更高級的控制,缺乏智能性和安全性,同時也無法支持具有不同速率的端口的交換。因此,各廠商把后一種技術(shù)作為重點(diǎn)。 有的廠商甚至對網(wǎng)絡(luò)幀進(jìn)行分解,將幀分解成固定大小的信元,該信元處理極易用硬件實(shí)現(xiàn),處理速度快,同時能夠完成高級控制功能(如美國MADGE公司的LET集線器)如優(yōu)先級控制。 3.信元交換 ATM技術(shù)代表了網(wǎng)絡(luò)和通訊技術(shù)發(fā)展的未來方向,也是解決目前網(wǎng)絡(luò)通信中眾多難題的一劑“良藥”,ATM采用固定長度53個字節(jié)的信元交換。由于長度固定,因而便于用硬件實(shí)現(xiàn)。ATM采用專用的非差別連接,并行運(yùn)行,可以通過一個交換機(jī)同時建立多個節(jié)點(diǎn),但并不會影響每個節(jié)點(diǎn)之間的通信能力。ATM還容許在源節(jié)點(diǎn)和目標(biāo)、節(jié)點(diǎn)建立多個虛擬鏈接,以保障足夠的帶寬和容錯能力。ATM采用了統(tǒng)計(jì)時分電路進(jìn)行復(fù)用,因而能大大提高通道的利用率。ATM的帶寬可以達(dá)到25M、155M、622M甚至數(shù)Gb的傳輸能力。結(jié)構(gòu)和組成總線型結(jié)構(gòu)交換機(jī)。基于并行總線結(jié)構(gòu)的交換機(jī)采用一種由介質(zhì)組成的單板背板。各端口之間的數(shù)據(jù)流必須經(jīng)過這條總線進(jìn)行傳輸,數(shù)據(jù)利用時分復(fù)用(TDM)方式進(jìn)行傳輸,每個端口分配一個時隙。總線結(jié)構(gòu)交換機(jī)總線帶寬受背板總線傳輸最高速率的限制,使總線帶寬一般限制在2Gbit/s左右。共享存儲器結(jié)構(gòu)交換機(jī)。共享存儲器結(jié)構(gòu),各端口的輸入、輸出MAC幀直接從存儲存入或取出。因而這類交換機(jī)完全不需要背板,比較容易實(shí)現(xiàn)。但在容量擴(kuò)展到一定程度時,內(nèi)存操作會產(chǎn)生時延,因此適合于小系統(tǒng)交換機(jī)。點(diǎn)對點(diǎn)結(jié)構(gòu)交換機(jī)。點(diǎn)對點(diǎn)結(jié)構(gòu)交換機(jī)又稱矩陣交換機(jī),點(diǎn)對點(diǎn)結(jié)構(gòu)交換機(jī)采用全矩陣方式,即每個端口模塊都通過連接總線直接與其他端口模塊相連,形成全網(wǎng)狀背板。由于每個端口模塊間均有連線,故不必設(shè)置中央交換陣列。背板總線容量等于端口模塊間連接總線數(shù)犤N×(N-1)犦乘以點(diǎn)對點(diǎn)連接總線速率(1Gbit/s左右)。點(diǎn)對點(diǎn)結(jié)構(gòu)交換機(jī)容量可以做得很大,但擴(kuò)容困難。星形點(diǎn)對點(diǎn)連接交換機(jī)。星形點(diǎn)對點(diǎn)連接交換機(jī)實(shí)現(xiàn)起來比矩陣交換機(jī)簡單,它用一個中心交換陣列來替代模塊間的互連,每一個用戶模塊只需連到中心交換陣列模塊上,故對每一個用戶模塊而言不需要交換功能,減少了系統(tǒng)的成本。這種設(shè)計(jì)允許任意多個端口模塊和中心交換陣列模塊相連,故交換機(jī)總?cè)萘咳Q于中心交換陣列模塊容量和端口模塊的容量,若初始配置的中心交換陣列容量有富余則擴(kuò)容非常方便。交換機(jī)防毒: 利用交換機(jī)的安全特性和Netflow技術(shù),網(wǎng)管員可以有效防范蠕蟲的攻擊。 面對蠕蟲的思考 互聯(lián)網(wǎng)蠕蟲的泛濫在最近幾年造成了巨大的損失,讓很多服務(wù)運(yùn)營商和企業(yè)網(wǎng)絡(luò)的管理員十分頭疼。盡管蠕蟲本身通常并不破壞任何的數(shù)據(jù),但它所帶來的直接和間接的破壞使得網(wǎng)絡(luò)基礎(chǔ)設(shè)備受到影響而造成網(wǎng)絡(luò)不穩(wěn)定甚至癱瘓。 今天的企業(yè)越來越多地把關(guān)鍵業(yè)務(wù)應(yīng)用、語音、視頻等新型應(yīng)用融合到IP網(wǎng)絡(luò)上,一個安全、可靠的網(wǎng)絡(luò)是企業(yè)業(yè)務(wù)成功的關(guān)鍵。而企業(yè)網(wǎng)絡(luò)的內(nèi)部和外部的界限越來越模糊,用戶的移動性越來越強(qiáng),過去我們認(rèn)為是安全的內(nèi)部局域網(wǎng)已經(jīng)潛伏著威脅。我們很難保證病毒不會被帶入我們的企業(yè)網(wǎng)絡(luò),而局域網(wǎng)的廣泛分布和高速連接,也使其很可能成為蠕蟲快速泛濫的溫床。如何應(yīng)對現(xiàn)在新的網(wǎng)絡(luò)安全環(huán)境呢?如何在我們的局域網(wǎng)上防范蠕蟲,及時地發(fā)現(xiàn)、跟蹤和阻止其泛濫,是每個網(wǎng)絡(luò)管理人員所思考的問題。 也許這是一個非常大的命題,事實(shí)上也確實(shí)需要一個系統(tǒng)的、協(xié)同的安全策略才能實(shí)現(xiàn)。從網(wǎng)絡(luò)到主機(jī),從核心層到分布層、接入層,我們要采取全面的企業(yè)安全策略來保護(hù)整個網(wǎng)絡(luò)和其所連接的系統(tǒng)。另外,當(dāng)蠕蟲發(fā)生時我們要有措施將其影響盡量緩解,并保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施,保證網(wǎng)絡(luò)的穩(wěn)定運(yùn)行。IDS的局限 通常,對付蠕蟲病毒,我們的做法首先要了解蠕蟲的異常行為,并有手段來盡早發(fā)現(xiàn)其異常行為。發(fā)現(xiàn)可疑行為后要能很快定位其來源,即跟蹤到其源IP地址、MAC地址、登錄用戶名、所連接的交換機(jī)和端口號等等。要搜集到證據(jù)并作出判斷,如果確是蠕蟲病毒,就要及時作出響應(yīng)的動作,例如關(guān)閉端口,對被感染機(jī)器進(jìn)行處理。 但是我們知道,接入交換機(jī)遍布于每個配線間,為企業(yè)的桌面系統(tǒng)提供邊緣接入,由于成本和管理的原因,我們不可能在每個接入層交換機(jī)旁都放置一臺IDS設(shè)備。如果是在分布層或核心層部署IDS,對于匯聚了成百上千個百兆/千兆以太網(wǎng)流量的分布層或核心層來說,工作在第7層的軟件實(shí)現(xiàn)的IDS無法處理海量的數(shù)據(jù),所以不加選擇地對所有流量都進(jìn)行監(jiān)控是不實(shí)際的。 怎么能找到一種有的放矢、行之有效而又經(jīng)濟(jì)擴(kuò)展的解決方案呢?利用Catalyst交換機(jī)所集成的安全特性和Netflow,就可以做到。 第一步:發(fā)現(xiàn)可疑流量 我們利用Netflow所采集和輸出的網(wǎng)絡(luò)流量的統(tǒng)計(jì)信息,可以發(fā)現(xiàn)單個主機(jī)發(fā)出超出正常數(shù)量的連接請求,這種不正常的大流量往往是蠕蟲爆發(fā)或網(wǎng)絡(luò)濫用的跡象。因?yàn)槿湎x的特性就是在發(fā)作時會掃描大量隨機(jī)IP地址來尋找可能的目標(biāo),會產(chǎn)生大量的TCP或ICMP流。流記錄里其實(shí)沒有數(shù)據(jù)包的載荷(payload)信息。這是Netflow和傳統(tǒng)IDS的一個重要區(qū)別,一個流記錄里不包含高層信息,這樣的好處則是可以高速地以硬件方式處理,適合于繁忙的高速局域網(wǎng)環(huán)境。 Catalyst6500 和 Catalyst 4500提供了基于硬件的Netflow功能,采集流經(jīng)網(wǎng)絡(luò)的流量信息。這些信息采集和統(tǒng)計(jì)都通過硬件ASIC完成,所以對系統(tǒng)性能沒有影響。某些產(chǎn)品缺省就帶了Netflow卡,所以不需增加投資。雖然Netflow不能對數(shù)據(jù)包做出深層分析,但是已經(jīng)有足夠的信息來發(fā)現(xiàn)可疑流量,而且不受“零日”的局限。如果分析和利用得當(dāng),Netflow記錄非常適用于早期的蠕蟲或其他網(wǎng)絡(luò)濫用行為的檢測。 在這當(dāng)中,需要網(wǎng)絡(luò)管理員了解流量模式的基線。例如,一個用戶同時有50-100個活動的連接是正常的,但是如果一個用戶發(fā)起大量的(例如1000個)活動的流就是非正常的了。所以用NetFlow進(jìn)行長期的網(wǎng)絡(luò)流量檢測分析,掌握正常情況下自己網(wǎng)絡(luò)的流量模型是工作的基礎(chǔ)。這些數(shù)據(jù)不僅僅對防毒有效,對網(wǎng)絡(luò)優(yōu)化等工作更是幫助很大。 第二步:逐本溯源 識別出可疑流量后,同樣重要的是追蹤到源頭(包括物理位置和用戶ID)。在今天的移動環(huán)境中,用戶可以在整個園區(qū)網(wǎng)中隨意漫游,僅僅知道源IP地址是很難快速定位用戶的。而且我們還要防止IP地址假冒,否則檢測出的源IP地址無助于我們追查可疑源頭。另外我們不僅要定位到連接的端口,還要定位登錄的用戶名。 Catalyst集成的安全特性提供了基于身份的網(wǎng)絡(luò)服務(wù)(IBNS),以及DHCP監(jiān)聽、源IP防護(hù)和動態(tài)ARP檢測等功能。這些功能提供了用戶的IP地址和MAC地址、物理端口的綁定信息,同時防范IP地址假冒。這點(diǎn)非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就沒有意義了。用戶一旦登錄網(wǎng)絡(luò),就可獲得這些信息。結(jié)合ACS(Access Control Server),還可以定位用戶登錄的用戶名。在Netflow 收集器上編寫一個腳本文件,當(dāng)發(fā)現(xiàn)可疑流量時,就能以E-mail的方式,把相關(guān)信息發(fā)送給網(wǎng)絡(luò)管理員。掌握了這些信息后,網(wǎng)管員就可以馬上采取行動了。 第三步:搜集可疑流量 一旦可疑流量被監(jiān)測到,我們需要捕獲這些數(shù)據(jù)包來判斷這個不正常的流量到底是不是發(fā)生了新的蠕蟲攻擊。正如上面所述,Netflow并不對數(shù)據(jù)包做深層分析,我們需要網(wǎng)絡(luò)分析工具或入侵檢測設(shè)備來做進(jìn)一步的判斷。但是,如何能方便快捷地捕獲可疑流量并導(dǎo)向網(wǎng)絡(luò)分析工具呢?速度是很重要的,否則就錯過了把蠕蟲扼殺在早期的機(jī)會。除了要很快定位可疑設(shè)備的物理位置,還要有手段能盡快搜集到證據(jù)。我們不可能在每個接入交換機(jī)旁放置網(wǎng)絡(luò)分析或入侵檢測設(shè)備,也不可能在發(fā)現(xiàn)可疑流量時扛著分析儀跑去配線間。 第四步:通過遠(yuǎn)程SPAN捕獲可疑流量 交換機(jī)上所支持的遠(yuǎn)程端口鏡像功能可以將流量捕獲鏡像到一個遠(yuǎn)程交換機(jī)上,例如將接入層交換機(jī)上某個端口或VLAN的流量穿過中繼鏡像到分布層或核心層的某個端口,只需非常簡單的幾條命令即可完成。流量被捕獲到網(wǎng)絡(luò)分析或入侵檢測設(shè)備(例如Cat6500集成的網(wǎng)絡(luò)分析模塊NAM或IDS模塊),做進(jìn)一步的分析和做出相應(yīng)的動作。 整個過程需要多長時間呢?對于一個有經(jīng)驗(yàn)的網(wǎng)管員來說,在蠕蟲發(fā)生的5分鐘內(nèi)就能完成,而且他不需要離開他的座位。(如圖所示) 我們可以看到,這個解決方案結(jié)合了Catalyst上集成的多種安全特性功能,從擴(kuò)展的802。1x,到DHCP監(jiān)聽、動態(tài)ARP檢測、源IP防護(hù)和Netflow。這些安全特性的綜合使用,為我們提供了一個在企業(yè)局域網(wǎng)上有效防范蠕蟲攻擊的解決方案,這個方案不需更多額外投資,因?yàn)槔玫氖羌稍贑atalyst上的IOS中的功能特性。也帶給我們一個思考:如何利用網(wǎng)絡(luò)來保護(hù)網(wǎng)絡(luò)?這些我們在選擇交換機(jī)時可能忽略的特性,會帶給我們意想不到的行之有效的安全解決方案。 。
熱心網(wǎng)友
這個問題太大了,建議可以看一些關(guān)于交換機(jī)方面的資料。如 等。
熱心網(wǎng)友
你所謂的防毒是什么意思呢?交換機(jī)最多工作在網(wǎng)絡(luò)層,它無法理解數(shù)據(jù)包內(nèi)部的含意,因此防護(hù)能力是非常有限的。它必須知道源地址和目的地址,因此可以知道哪個地址的數(shù)據(jù)流量過大,而對此做一定限制,丟棄部分?jǐn)?shù)據(jù)包,這也就是“交換機(jī)防毒”的極限了。