分类: 系统运维
2008-05-22 16:59:54
创新的Catalyst交换机和QoS功能为城域汇聚层带来更高的安全性、可靠性、永续性和卓越的性能。
城域以太网市场正在经历高速的增长,而安全在城域网络的入口位置扮演着极为重要的角色。模块化Cisco Catalyst交换机被用于在汇聚层终结多个DSL接入多路复用器(DSLAM)。DSLAM是一种智能设备,可以针对三网合一的语音、视频和数据服务进行组播互联网群组管理协议( IGMP)监听。它们还支持动态主机控制协议(DHCP)接口跟踪(选项82)和终端用户隔离。
但是,DSLAM不能提供一些重要的安全功能,例如针对中间人攻击、IP伪装和DHCP拒绝服务(DoS)攻击的动态保护。这些安全功能和创新的服务质量(QoS)功能都是在城域汇聚交换层执行的。在这种拓扑中,通常每个DSLAM都利用两个千兆以太网接口连接到一个Cisco Catalyst(参见第62页的图2)。
配有Supervisor Engine V-10GE的Catalyst 4500
支持万兆以太网的线速Cisco Catalyst交换机已经成为电信运营商事实上的最佳选择,因为它让他们可以提供充足的带宽和丰富的服务,从而满足客户需求和保持电信运营商的竞争力。一台配有Supervisor Engine V-10GE的Cisco Catalyst 4500系列交换机可以支持高达136Gbps的交换容量和每秒1.02亿个分组(1.02亿pps)的线速转发能力。模块化引擎能够按照IEEE 802.1q,支持全部4096个活动虚拟LAN(VLAN)。另外,所有这些服务都不会对性能造成任何影响,因为它们都是基于硬件的。这使得运营商能够提供更多的城域以太网点对点或者点对多点以太网服务。
Catalyst 4500系列交换机的双向以太网(100BaseBX、1000BaseBX)接口可以在单条光缆上提供全双工、线速的快速或者千兆以太网点对点服务。交换机的千兆以太网端口支持GLC-BX-U(上行,客户端)和GLX-BX-D(下行,电信运营商)小型可插拔(SFP)接口。这些接口提供了额外的投资回报(ROI),将在地下铺设裸光纤的成本降低了一半。新的双向SFP都是成对安装的(每端的蓝色+紫色接口),而且每个SFP都承载不同的带宽。常见的部署包括用双向SFP终结用户或者交换机下行连接,以及与城域以太网核心中的Cisco 7600系列路由器建立2×10GE线速上行连接。
图1 Cisco Catalyst 4500系列交换机所支持的新型安全和服务质量功能可以为城域汇聚部署提供更高的性能和保护。双向千兆以太网接口可以将在地下铺设裸光纤的成本降低一半。
Catalyst交换机中的新增的安全和QoS功能
模块化Cisco Catalyst交换机的一些新型安全和QoS功能为城域汇聚部署提供了一组全面的安全服务,让网络管理人员可以灵活地从源头制止安全威胁。这些紧密集成的软件和硬件功能能够共同协作,同时部署在一台交换机上。
图2安全功能——例如对中间人攻击、IP伪装和DHCP DoS攻击的动态防范——由Catalyst交换机在城域汇聚层执行。
另外,利用TCAM3硬件接口,交换引擎ASIC能够以线速进行分组搜索。这些TCAM
还让Catalyst交换机能够在任意的IP地址范围之内,在硬件基础上处理安全服务。因为TCAM条目及其掩码之间存在一一对应的关系,TCAM3可以被广泛地用于满足城域汇聚安全和QoS功能的未来要求。即使在对来自于6000个不同的IP地址和所有动态汇聚安全功能的流量进行分类时,TCAM条目利用率仍然只有10%。
图3显示了这些新型功能在城域汇聚网络中的应用。这个例子中所用拓扑的范围旨在表明网络对于利用特定的安全功能制止某些攻击的需要。
PVLAN在城域以太网环境中非常有用,因为它们可以自动地在多个DSLAM之间提供隔离。PVLAN隔离中继可用于在同一个端口上复用多个VLAN,同时保持用户之间的隔离。这项功能还让客户可以通过透明的网络订购多个ISP的服务。PVLAN混合中继(2005年下半年推出)可用于在交换机上的上行连接端口上为数千个用户提供服务。在混合中继出现之前,一台Catalyst交换机只能在一个混合端口上承载一个VLAN,从而需要为数众多的物理端口。利用这项新功能,很多主PVLAN可以被复用到一个或者多个(有助于加强永续性和负载均衡)万兆以太网或者千兆以太网上行连接。Catalyst 4500上的PVLAN混合中继可以连接到Cisco 7600系列路由器,由后者提供IPv4、IPv6或者多协议标签交换(MPLS)服务。
PVLAN中继端口还可以支持中继端口安全。它可以限制一个中继端口上的各个VLAN的允许MAC地址或者最大MAC地址数。它可以将中继端口限制到设定的MAC地址,确保其他MAC地址无法加入网络。在发生违反中继端口安全策略的行为时,中继端口将被关闭,同时将生成一个简单网络管理协议(SNMP)捕获。当一台Catalyst交换机通过一个802.1q或者ISL中继连接到一台相邻的第二层交换机或者DSLAM时,需要使用中继端口安全。
针对每个端口、每个VLAN的QoS让网络管理人员可以为每个VLAN制定专门的服务策略。这种通过硬件执行的策略可能包括输入和输出监管,信任差分服务代码点(DSCP),或者为语音分组提供高于数据的优先级。图4显示了在Cisco Catalyst 4500系列交换机上配置这三项功能的示例。
图3Cisco Catalyst模块化交换机上的安全功能(例如PVLAN)使网络管理员可以灵活地从源头制止安全威胁。
图4在一台Cisco Catalyst 4500系列交换机中配置输入/输出监管、信任DSCP和提供语音分组优先级的示例
图5在一台Cisco Catalyst 4500系列交换机上配置DHCP监听的示例
图6在一台Cisco Catalyst 4500系列交换机上配置动态ARP检测和IP源保护的示例
DHCP接口跟踪(即选项82)有助于满足很多国家的法律要求。这些法规要求DSLAM必须持续不断地跟踪DHCP服务和租约。DHCP接口跟踪只能提供DHCP分组的跟踪路径,但是不会实施安全措施。DSLAM会在从客户端发往服务器的DHCP请求分组中插入关于它自身的信息。当一台Catalyst交换机处于汇聚模式时,它将无法更改来自于DSLAM的选项82,从而迫使该端口获得信任资格。为该端口提供信任资格将导致业界领先的DHCP监听、动态ARP检测和IP源保护等安全功能无法在城域以太网中使用。现在,思科针对选项82直通功能改造了Catalyst交换机,这意味着交换机可以透明地发送选项82,从而实现对DHCP分组的深层检测。
DHCP监听能够在制止恶意DHCP服务器的同时,防止网络遭受DoS攻击。它可以通过对输入DHCP分组进行速率限制,以及限制面向客户的端口只能发送DHCP请求和续约流量,实现这样的安全保障目标。例如,边缘端口无法像DHCP服务器一样提供DHCP租约。DHCP监听还为其他一些安全功能奠定了基础,例如IP源保护和动态ARP检测。这项功能让交换机可以“监听”针对DHCP分组的交换流量,创建一个动态绑定(如图5所示)。
动态ARP检测可以利用DHCP监听绑定,防范针对静态和动态IP地址的ARP伪装和中间人攻击。任何违反安全策略的主机都会被记录下来,而且相关端口也会被禁用,直到管理人员采取补救措施为止。IP源保护可以通过动态维护每个端口的VLAN ACL,制止IP地址伪装。IP源保护还可以利用DHCP监听表,提高IP源地址的安全性。该功能可以自动地将某个IP和MAC地址锁定到某个指定的端口。例如,当用户利用“ipconfig /release”租用该IP地址时,动态ACL将会去除。图6显示了这些功能的配置示例。
本文所介绍的所有Cisco Catalyst安全和QoS功能都互相依存——就如同一组安全“阶梯”。所有服务都共同部署在它们上方。这些功能可以帮助电信运营商建立永续、高性能、可靠、安全的城域第二层(或者更高层次)网络。这些交换机不仅可以满足今天的网络需要,而且还可以适应未来的需要和挑战。
深入阅读
