behindthewalls 2010-01-15
安全一直信息化时代发展中的一块心病,作为目前最流行的第三层交换机,其在实际应用中也碰到过不少安全威胁,接下来让我们看看第三层交换机是如何应对这些安全问题的。随着行业信息化和中小企业信息化进程的加快,网络建设的热点正在由网络的核心转向网络边缘。骨干网的建设已经基本完成,网络建设的重点转为接入和应用,从而为交换机带来了黄金市场机会。
在思科将智能推向边缘,并向市场逐步发力……种种迹象表明,交换机市场正受到各路网络设备诸侯的关注和青睐,将有望成为IT领域的又一个角斗战场。目前,这场角斗抢夺得制高点是对第三层交换机市场的争夺,尤其是边缘的交换机,有关市场调查显示,边缘交换机已经开始超越核心交换机,逐渐地占据主流的地位。从有关的对用户需求的调查显示也证明了这一点:用户在选购交换机时候,考虑最多的购买因素是应用和安全,因而,购买时大多选择可管理性非常强的三层或多层交换机。
可以说是市场是催生第三层交换机的主要因素。随着Internet/Intranet的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用,跨地域、跨网络的业务急剧增长,业界和用户深感传统的路由器在网络中的瓶颈效应。改进传统的路由技术迫在眉睫。在这种情况下,一种新的路由技术应运而生,这就是第三层交换机技术。说它是路由器,因为它可操作在网络协议的第三层,是一种路由理解设备并可起到路由决定的作用;说它是交换机,是因为它的速度极快,几乎达到第二层交换的速度。
而且,用户网络应用水平的提高,是第三层交换机的大规模应用推动的主要动力之一。随着网络应用的深入,用户已经不再满足于交换机的基本功能,即将输入输出端口连接起来而实现业务流的转发。用户除了要求交换机具备交换、认证、报文过滤功能外,更希望交换机具有路由处理功能,同时用户应用的不同也对网络的弹性提出了新的要求。
同时,随着网络规模的迅速扩展和网络中应用的不断增多,用户网络必须加强对访问者的控制,限制非法用户的通信,从而保证整个网络的安全。例如校园网中对设备的安全管理、驻地网对安全接入的要求、企业网络中各个业务之间的隔离等。然而普通交换机不能有效的隔离网络中各网点之间的数据传输、控制用户的访问权限,使用户局域网的安全遭到威胁。第三层交换机则能通过各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制,提高了网络的安全性,并有效的抑制了广播风暴的产生。
随着我国企业网、校园网以及宽带建设的迅速发展,第三层交换机的应用也从最初的骨干层、汇聚层一直渗透到边缘的接入层。第三层交换机的出现,正如思科路由器在广域网的广泛应用一样,将在今后很长一段时间主宰网络,这已成为不争的事实。
应用与安全的优越性
随着互联网的迅猛发展,用户在网络上的应用越来越多,用户在网络上传输的不再仅限于数据,网上交易、网上教学、视频点播、社区影院等日益成为用户对网络的现实需求,纯粹的二层交换已经不能满足用户实际的需求。那么第三层交换机相比二层交换到底有什么样的优越性,在技术上有什么区别呢?思科作为引领交换机市场发展的舵手,它认为三层叫交换机的优势,主要反映在应用与网络安全两个方面。
应用上,主要体现在用户网络上传输的不再仅限于数据,语音、视频等,它对延迟、抖动要求非常高的多媒体信息也实现了在同一网络上传输。普通交换机由于工作在OSI 7层模型的第二层(即数据链路层),在划分子网和广播限制等方面提供的控制非常少,极容易造成网络拥塞,使数据包的丢失和延迟增加,服务质量无法保证。第三层交换机则把网络通信中的二层交换技术和三层路由(或称三层转发)技术结合在一起,并通过ASIC技术达到线速交换,大幅度提高了设备数据的包转发能力,消除了转发瓶颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用,切实保证满足各类用户的应用需求。
另一方面,随着网络规模的扩大,网络变的越来越复杂,网络在运行和管理方面所付出的代价,大大超过了网络设备本身的成本,易维护和易管理要求也促成了第三层交换机广泛应用。以往,网络管理员将3/4的时间花费在维护网络的基础结构,确保通信流量的优化,并处理移动和变更等工作。通常情况下,当用户转移到网络中另一个物理位置时,需要重新配置网络,甚至还有用户的工作站需要进行大量的管理工作。
针对于此,第三层交换机VLAN技术很好的解决了网络管理的问题。VLAN的部署将通过减少网络中移动与变更所需要的资源,达到实现为用户节约资源的目的,同时VLAN能实现网络监督与管理的自动化,从而更有效的进行网络监控。远程管理,远程网络监控、故障报警等为网络管理员管理提供了有效的手段。思科的智能网络体系架构能够实现帮助客户在市场中不断增加新的内容业务,如远程教育、呼叫中心、电子商务、企业资源管理、客户关系管理等,帮助企业实现降低生产成本,提高生产力,开发新客户的目的。