交換式以太網技術是近年來迅速發展起來的壹種新的網絡技術。交換式以太網技術采用類似於傳統網橋的工作機制。與網橋不同,它不是網段,而是連接到交換機的網絡站點。當以太網交換機從壹個端口接收到數據幀時,並不是像傳統的* * *共享集線器那樣簡單地將信號轉發到所有端口,而是利用交換機中的端口-mac地址映射表,分析數據幀中包含的mac地址,將數據幀轉發到相應的端口。因此每個端口單獨享有10m、100m甚至1000m的網絡帶寬,解決了通道沖突,緩解了網絡帶寬不足的問題。二、網絡層的網段廣播風暴(network segment broadcaststorm)是網絡中由於廣播包過多而導致網絡通信性能下降的現象,其形成與網絡層協議和網絡中使用的站點數量有關。雖然網橋和交換機都可以解決頻道沖突,但是對於廣播風暴卻束手無策。原因是它們只在數據鏈路層使用mac地址轉發數據幀,這對網絡的高層協議是透明的。因此,由網橋和交換機組成的網絡仍然屬於同壹個廣播域(不考慮虛擬網絡),網絡中任何站點發送的廣播包都可以被其他站點接收到。因此,網橋和交換機無法抑制廣播風暴。路由器比以太網交換機出現的早,它們工作在網絡的第三層(網絡層)。路由器使用網絡數據包中包含的網絡地址來決定通過路由表將網絡數據包轉發到哪個網絡。路由器可以區分壹些常見的網絡層協議,如ip、ipx和decnet。路由器連接的網段屬於不同的廣播域,壹個廣播域的廣播包不會穿透路由器到達另壹個廣播域。因此,路由器可以在壹定程度上抑制廣播風暴。三、第二層分段和第三層分段的應用與網橋和交換技術相比,路由器可以在網絡的更高層次上實現網絡分段,可以在壹定程度上解決廣播風暴問題。但是路由器技術非常復雜,成本較高。尤其是安裝初期,需要大量的手動配置,而交換機不需要太多的配置就可以使用。與交換機基於硬件的數據交換不同,路由器由於使用了大量的軟件技術,工作速度遠不及交換機,導致轉發網絡數據包時延遲較大。在實際的網絡環境中,路由器和交換機在各自的領域進行網絡分段。如果壹個組織內各個部門的位置比較集中(通常在壹棟大樓內),並且允許將整個網絡系統設計為單個廣播域,則可以采用以交換機為中心的網絡主幹結構。這種結構的網絡充分利用了交換技術的特點。部門之間的信息交換通過主幹交換機進行,部門用戶與信息中心服務器組之間有直接連接,因此可以保證足夠的網絡帶寬。但由於這種結構是單廣播域,廣播包會穿透骨幹交換機到達其他部門,可能形成廣播風暴。對於單位內各部門地理位置分散,或者出於安全原因不允許設計單壹廣播域結構的情況,可以采用以路由器為中心的網絡主幹結構。這種結構的網絡通過路由器將各個部門劃分成獨立的子網,形成各自的廣播域。部門之間的信息交換是通過骨幹路由器進行的,所以各個子網的廣播包不會穿透路由器到達其他部門。而部門用戶和信息中心服務器組之間因為路由器的存在沒有直接連接,訪問速度會受到壹定影響。目前,隨著網絡用戶和網絡帶寬需求的不斷增加,傳統的網橋和路由器已經顯得“力不從心”,而vlan(虛擬局域網)、第三層交換等新的網絡技術為我們提供了越來越有效的網絡分段方法。四、利用vlan進行網絡分段為了克服以太網的廣播問題,除了上述方法外,還可以利用VLAN (Virtual Local Area Network,虛擬局域網)技術,將以太網通信改為點對點通信,防止大部分基於網絡攔截的入侵。目前主要有三種VLAN技術:基於交換機端口的VLAN、基於節點MAC地址的VLAN和基於應用協議的VLAN。基於端口的VLAN雖然有點不靈活,但是相對比較成熟,在實際應用中效果顯著,很受歡迎。基於MAC地址的VLAN為移動計算提供了可能,但同時也隱藏著被MAC欺詐攻擊的隱患。基於協議的VLAN在理論上是理想的,但在實際應用中還不成熟。在集中式網絡環境中,我們通常將中心的所有主機系統集中到壹個VLAN中,這個VLAN中不允許有任何用戶節點,以更好地保護敏感的主機資源。在分布式網絡環境中,我們可以根據機構或部門的設置來劃分VLAN。每個部門的所有服務器和用戶節點都在自己的VLAN中,它們不會造成幹擾。VLAN境內的連接是通過交換實現的,而VLAN和VLAN之間的連接是通過路由實現的。目前,大多數交換機支持RIP和OSPF這兩種國際標準路由協議。如有特殊需要,必須使用其他路由協議(如CISCO的EIGRP或IS-IS支持DECnet),可以使用外部多以太網口路由器代替交換機實現VLAN之間的路由功能。當然,在這種情況下,路由轉發的效率會降低。交換集線器和VLAN交換機都是基於交換技術的,在控制廣播和防止黑客方面相當有效,但也給壹些基於廣播原理的入侵監測技術和協議分析技術帶來了麻煩。因此,如果局域網中有這種入侵監測設備或協議分析設備,必須選擇具有SPAN(交換機端口分析器)功能的專用交換機。這種交換機允許系統管理員將交換機端口的全部或部分數據包映射到指定端口,並提供給連接到該端口的入侵監控設備或協議分析設備。五、利用第三層交換技術進行網絡分段第三層交換是通過在網絡交換機中引入路由模塊,將交換和路由結合在壹起的網絡技術。根據實際應用情況,可以靈活地在網絡的第二層或第三層對網絡進行分段。在詳細討論這項技術之前,讓我們回顧壹下在由交換機和路由器組成的網絡中,站點如何通過ip進行通信。首先,發送信息的站根據子網掩碼分析目的地的ip地址。如果目的機器和源機器在同壹個ip子網,源機器發送壹個arp包來獲得目的機器的mac地址。獲得mac地址後,源機器向目的機器發送ip包。如果目的機器和源機器不在同壹個ip子網中,則源機器將ip數據包發送到ip子網中的默認路由器。路由器分析目的地的ip地址,並將其與路由器路由表進行比較,以確定如何轉發數據包。在使用第三層交換技術的多層交換機中,交換機具有第二層交換模塊和第三層交換模塊。第二層交換模塊應具有虛擬局域網的功能,將連接到多層交換機的網絡站點劃分為若幹個虛擬局域網。多層交換機的第三層交換模塊有壹個或多個ip地址和mac地址,形成許多邏輯路由器端口。它的作用類似於把幾個局域網連在壹起的路由器,二層交換模塊組成的虛擬子網掛在邏輯路由器端口上。
上一篇:如何做好企業的安全管理下一篇:安徽模式的閔行模式