思科路由交换机发展

1、思科路由交换机发展思科路由交换机发展到今天为止，组网设备都己经非常完善稳定，这里我们分析了思 科路由交换机的未来发展方向，和需要注意的问题。网络安全不再 单纯依赖单一设备和单一技术来实现已成为业界共识。路由交换机 作为网络骨干设备，自然也肩负着构筑网络安全防线的重任。围绕路由交换机的安全问题进行了用户调查，在收到的大量读者 反馈中，我们进行了统计和分析：70%的用户曾经遭受过Slanmiet、 “冲击波”等蠕虫病毒的袭击，这些蠕虫病毒攻击的直接目标通常 是PC机和服务器，但是攻击是通过网络进行的，因此当这些蠕虫病 毒大规模爆发时，交换机、路由器会首先受到牵连。抽样分析表明: 近50%的用户反映

2、Slammer冲击波等蠕虫病毒冲击了路由交换机， 36%的用户的路由器受到冲击。用户只有通过重启交换路由设备、重 新配置访问控制列表才能消除蠕虫病毒对网络设备造成的影响。蠕虫病毒攻击网络设备蠕虫病毒发作导致网络吞吐效率下降、变慢。如果网络中存在瓶 颈，就会导致网络停顿甚至瘫痪。这些瓶颈可能是线路带宽，也可 能是路由器、交换机的处理能力或者内存资源。需要指出的是，网 络中的路由器、交换机己经达到或接近线速，内网带宽往往不收敛, 在这种情况下，病毒攻击产生的流量对局域网内部带宽不会造成致 命堵塞，但位于网络出口位置的路由器和位于网络核心位置的三层 交换机却要吞吐绝大多数的流量，因而首当其冲地受到蠕

3、虫病毒的 攻击。接入层交换机通常需要与用户终端直接连接，一旦用户终端 感染蠕虫病毒，病毒发作就会严重消耗带宽和交换机资源，造成网 络瘫痪，这一现象早己屡见不鲜。蠕虫病毒对网络设备的冲击形式主要有两种：一是堵塞带宽，导 致服务不可用；二是占用CPU资源，导致宕机，红色代码、Slammer. 冲击波等蠕虫病毒不停地扫描IP地址，在很短时间内就占用大量的 带宽资源，造成网络出口堵塞。宕机共分几种情况:一是普通三层交 换机都采用流转发模式，也就是将第一个数据包发送到CPU处理， 根据其目的地址建流，频繁建流会急剧消耗CPU资源，蠕虫病毒最 重要的攻击手段就是不停地发送数据流，这对于采用流转发模式的 网

4、络设备是致命的;二是如果网络规划有问题，在Slammer作用下导 致大量ARP请求发生，也会耗尽CPU资源。再比如，Slammer病毒 拥塞三层交换机之间链路带宽，导致路由协议的数据包（如Hello包） 丢失，导致整个网络的路由震荡。类似的情形还有利用路由交换机 安全漏洞对交换机CPU等资源发起的DoS攻击。在2003年第5期报 纸上，我们曾集中介绍了路由器的安全问题，在这期报纸上我们将 集中介绍交换机的安全问题。路由交换机需要加强安全性以太网路由交换机实际是一个为转发数据包优化的计算机。而是 计算机就有被攻击的可能，比如非法获取路由交换机的控制权，导 致网络瘫痪，另一方而也会受到DoS攻击，

5、比如前而提到的几种蠕 虫病毒。它们都利用了路由交换机的一些漏洞。一般交换机可以作 生成权维护、路由协议维护、ARP、建路由表，维护路由协议，对 ICMP报文进行处理，监控交换机，这些都有可能成为黑客攻击交换 机的手段。蠕虫病毒的攻击，使网络设备厂商和用户都开始注重路由交换机 的安全性。对于交换机安全性的理解，近48%的用户认为交换机的 安全性是指交换机本身具有抗攻击性和安全性，31%的用户认为是指 路由交换机携带了安全模块，21%的用户认为两者兼备。绝大数网络 设备厂商认为路由交换机的安全性需经过特殊设计、提高了抗攻击 能力，同时具有一定的安全功能。传统路由交换机主要用于数据包的快速转发，强调

6、转发性能。随 着局域网的广泛互连，加上TCP/IP协议本身的开放性，网络安全成 为一个突出问题，网络中的敏感数据、机密信息被泄露，重要数据 设备被攻击，而路由交换机作为网络环境中重要的转发设备，其原 来的安全特性己经无法满足现在的安全需求，因此传统的路由交换 机需要增加安全性。在网络设备厂商看来，加强安全性的交换机是对普通交换机的升 级和完善，除了具备一般的功能外，这种交换机还具备普通交换机 所不具有的安全策略功能。这种交换机从网络安全和用户业务应用 出发，能够实现特定的安全策略，预防病毒和网络攻击，限制非法 访问，进行事后分析，有效保障用户网络业务的正常开展。实现安 全性的一种作法就是在现有交换机中嵌入各种安全模块。不同用户 有不同的需求，25%的用户希望交换机中增加防火墙、VPN、数据加 密、身份认证等功能，37%的用户表示需要直接使用安全设备，48% 的用户表示两种方式都需要。在现阶段，由于有过被攻击的经历， 绝大多数用户对增强安全性的交换机表示出浓厚兴趣，18%的用户表 示在三个月之内购买，29%的用户会在半年之内购买，19%的用户打 算在一年之内购买，只有34%的用