返回
三层交换机发动防守反击

三层交换机发动防守反击

ID:20697015

大小:49.00 KB

页数:3页

时间:2018-10-15

三层交换机发动防守反击_第1页
三层交换机发动防守反击_第2页
三层交换机发动防守反击_第3页
资源描述:

《三层交换机发动防守反击》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库

1、三层交换机发动防守反击~教育资源库  虽然新型的运营商城域网用路由器代替了部分三层交换机的功能,但是目前,三层交换机仍然没有退出城域网的竞争,很多地市级运营商仍然大量使用了三层交换机构建城域网的汇聚层,甚至在核心层面上也引入了三层交换机。因此,也对三层交换机的功能和性能提出了更高的要求。  为适应运营级城域网的要求,目前的三层交换机,尤其是高端三层交换机,在路由转发能力、接口类型、业务能力、QoS以及安全、计费、认证等功能上都有了很大的改进和提高。  在路由转发能力上,传统的交换机采用按流转发+精确匹配的模式,即在CACHE中存储了包括源

2、IP地址和目的IP地址的精确匹配表,对数据流进行精确匹配。由于采用了CACHE技术,并采取按流转发的方式,转发速度和效率很高,但受到CACHE容量的限制,当网络规模变大,网络中的地址增多,这种方式就存在着CACHE耗尽的风险,尤其是目前网络上病毒的泛滥,伪造地址的攻击越来越多,大量伪造的IP地址将很快耗尽交换机的资源。因此,目前高端三层交换机也采用了类似路由器的最长匹配方式,即不匹配完整的IP地址,只根据网段进行最长匹配,这样就能更好地适应网络规模和流量模式的变化。同时,由于ASIC技术的发展,这种最长匹配也可以由硬件来完成,在不影响转发

3、速度的情况下使得三层交换机可以适应更复杂的网络环境。  传统的三层交换机只支持以太网接口,即10/100M和1000M以太网接口,但随着三层交换机应用于城域网环境,一方面较低的接口速率无法满足城域网核心层面的转发需要;另一方面单一的以太网接口也不能适应城域网与广域网互联的需求。10G以太网的标准(IEEE802.3ae)于2002年6月正式颁布,目前,经过短短三年的发展,大多数主流厂商的高端三层交换机都已经支持了10G以太网接口,这使得企业网、校园网以及运营商城域网的骨干带宽大大增加。同时,在一些高端的三层交换机上也提供了POS、ATM、

4、E1/E3等广域网接口,从而使通过三层交换机实现城域网与广域网的互联成为可能,并且使三层交换机可以更加方便的成为城域网的核心层设备。  传统的三层交换机在路由协议的支持能力方面比较弱,一般只支持RIP等适合小规模网络的域内路由协议。目前的三层交换机不仅可以支持RIP、OSPF等域内路由协议,一些高端的三层交换机还可以支持BGP协议,这样就大大扩展了三层交换机的应用范围。随着VOD等组播业务的迅速发展,要求网络设备也要能够支持组播功能,目前的三层交换机不仅可以支持IGMP协议,而且可以支持PIM-SM/DM、DVMRP等组播路由协议,使得三

5、层交换机既可以部署在网络的边缘,又可以在汇聚层或核心层提供组播业务的支持。  由于MPLSVPN可以实现用户数据的隔离,同时也可以提供QoS保证,因此正在成为IP城域网中重要的增值业务提供手段。过去的MPLSVPN业务基本上是在路由器上提供的,即由路由器作为PE设备,而目前,在华为、中兴、港湾等国内主流厂商的三层交换机上也提供了MPLSVPN功能,这样可以用位于网络边缘的三层交换机作为PE,为LAN接入的用户更方便的提供MPLSVPN业务。  提供对业务流的QoS保证是运营级IP城域网的一个基本能力,目前的三层交换机根据其在网络中位置的不

6、同也提供了不同的QoS支持功能。位于网络边缘的三层交换机需要完成业务流分类与流量限制的工作,即根据数据流的特征将业务流区分开来,并赋予其不同的优先级;或对某些业务流的流量进行限制。目前有一些被称之为智能交换机的三层交换机设备,可以基于二到七层的各种信息对数据流进行分类,并对命中的数据流采取各种QoS策略,如对数据流重新着色、进行接入速率限制(CAR)或流量整形(GTS)等,这样就使得网络边缘的业务感知和流量控制更加灵活方便。位于汇聚/核心层的三层交换机可以根据数据流的优先级(TOS、DSCP,或MPLS标签中的ESP字段)进行队列调度和区

7、分转发。可以说,目前的三层交换机在QoS功能方面与路由器相比已经没有太大的差别。  在病毒、攻击日益泛滥的今天,网络的安全问题越来越重要,解决安全问题需要在网络边缘支持对非法流量的过滤、对用户的认证等能力。目前的三层交换机基本都支持配置ACL策略,可以根据流量特征对非法数据流进行过滤,或采用流量限制的策略,这样就大大限制了病毒或攻击流量的扩散速度和危害程度。但由于受到ASIC的限制,三层交换机,尤其是中低端的产品所支持的ACL数量大都比较有限,这个缺陷也制约了三层交换机过滤非法流量的能力。对用户进行认证,确保只有合法用户接入网络也是保证网

8、络安全的一个重要方面,三层交换机基本都支持802.1x、PPPOE、AC、端口、用户名、IP、VLAN等多种信息的绑订功能。  目前的三层交换机设备已经不仅仅是二层交换加路由功能的简单组合,而

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。