我想知道交换机在微观方面是怎样工作的,他的结构、组成是怎样的,还有我知道交换机可以防毒,他的工作原理是什么?请高手详细剖析以下

热心网友

工作原理:  交换技术允许共享型和专用型的局域网段进行带宽调整,以减轻局域网之间信息流通出现的瓶颈问题。现在已有以太网、快速以太网、FDDI和ATM技术的交换产品。   类似传统的桥接器,交换机提供了许多网络互联功能。交换机能经济地将网络分成小的冲突网域,为每个工作站提供更高的带宽。协议的透明性使得交换机在软件配置简单的情况下直接安装在多协议网络中;交换机使用现有的电缆、中继器、集线器和工作站的网卡,不必作高层的硬件升级;交换机对工作站是透明的,这样管理开销低廉,简化了网络节点的增加、移动和网络变化的操作。   利用专门设计的集成电路可使交换机以线路速率在所有的端口并行转发信息,提供了比传统桥接器高得多的操作性能。如理论上单个以太网端口对含有64个八进制数的数据包,可提供14880bps的传输速率。这意味着一台具有12个端口、支持6道并行数据流的“线路速率”以太网交换器必须提供89280bps的总体吞吐率(6道信息流X14880bps/道信息流)。专用集成电路技术使得交换器在更多端口的情况下以上述性能运行,其端口造价低于传统型桥接器。   三种交换技术   1.端口交换   端口交换技术最早出现在插槽式的集线器中,这类集线器的背板通常划分有多条以太网段(每条网段为一个广播域),不用网桥或路由连接,网络之间是互不相通的。以大主模块插入后通常被分配到某个背板的网段上,端口交换用于将以太模块的端口在背板的多个网段之间进行分配、平衡。根据支持的程度,端口交换还可细分为:   ·模块交换:将整个模块进行网段迁移。   ·端口组交换:通常模块上的端口被划分为若干组,每组端口允许进行网段迁移。   ·端口级交换:支持每个端口在不同网段之间进行迁移。这种交换技术是基于OSI第一层上完成的,具有灵活性和负载平衡能力等优点。如果配置得当,那么还可以在一定程度进行客错,但没有改变共享传输介质的特点,自而未能称之为真正的交换。   2.帧交换   帧交换是目前应用最广的局域网交换技术,它通过对传统传输媒介进行微分段,提供并行传送的机制,以减小冲突域,获得高的带宽。一般来讲每个公司的产品的实现技术均会有差异,但对网络帧的处理方式一般有以下几种:   ·直通交换:提供线速处理能力,交换机只读出网络帧的前14个字节,便将网络帧传送到相应的端口上。   ·存储转发:通过对网络帧的读取进行验错和控制。   前一种方法的交换速度非常快,但缺乏对网络帧进行更高级的控制,缺乏智能性和安全性,同时也无法支持具有不同速率的端口的交换。因此,各厂商把后一种技术作为重点。   有的厂商甚至对网络帧进行分解,将帧分解成固定大小的信元,该信元处理极易用硬件实现,处理速度快,同时能够完成高级控制功能(如美国MADGE公司的LET集线器)如优先级控制。   3.信元交换   ATM技术代表了网络和通讯技术发展的未来方向,也是解决目前网络通信中众多难题的一剂“良药”,ATM采用固定长度53个字节的信元交换。由于长度固定,因而便于用硬件实现。ATM采用专用的非差别连接,并行运行,可以通过一个交换机同时建立多个节点,但并不会影响每个节点之间的通信能力。ATM还容许在源节点和目标、节点建立多个虚拟链接,以保障足够的带宽和容错能力。ATM采用了统计时分电路进行复用,因而能大大提高通道的利用率。ATM的带宽可以达到25M、155M、622M甚至数Gb的传输能力。结构和组成总线型结构交换机。基于并行总线结构的交换机采用一种由介质组成的单板背板。各端口之间的数据流必须经过这条总线进行传输,数据利用时分复用(TDM)方式进行传输,每个端口分配一个时隙。总线结构交换机总线带宽受背板总线传输最高速率的限制,使总线带宽一般限制在2Gbit/s左右。共享存储器结构交换机。共享存储器结构,各端口的输入、输出MAC帧直接从存储存入或取出。因而这类交换机完全不需要背板,比较容易实现。但在容量扩展到一定程度时,内存操作会产生时延,因此适合于小系统交换机。点对点结构交换机。点对点结构交换机又称矩阵交换机,点对点结构交换机采用全矩阵方式,即每个端口模块都通过连接总线直接与其他端口模块相连,形成全网状背板。由于每个端口模块间均有连线,故不必设置中央交换阵列。背板总线容量等于端口模块间连接总线数犤N×(N-1)犦乘以点对点连接总线速率(1Gbit/s左右)。点对点结构交换机容量可以做得很大,但扩容困难。星形点对点连接交换机。星形点对点连接交换机实现起来比矩阵交换机简单,它用一个中心交换阵列来替代模块间的互连,每一个用户模块只需连到中心交换阵列模块上,故对每一个用户模块而言不需要交换功能,减少了系统的成本。这种设计允许任意多个端口模块和中心交换阵列模块相连,故交换机总容量取决于中心交换阵列模块容量和端口模块的容量,若初始配置的中心交换阵列容量有富余则扩容非常方便。交换机防毒: 利用交换机的安全特性和Netflow技术,网管员可以有效防范蠕虫的攻击。 面对蠕虫的思考 互联网蠕虫的泛滥在最近几年造成了巨大的损失,让很多服务运营商和企业网络的管理员十分头疼。尽管蠕虫本身通常并不破坏任何的数据,但它所带来的直接和间接的破坏使得网络基础设备受到影响而造成网络不稳定甚至瘫痪。 今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上,一个安全、可靠的网络是企业业务成功的关键。而企业网络的内部和外部的界限越来越模糊,用户的移动性越来越强,过去我们认为是安全的内部局域网已经潜伏着威胁。我们很难保证病毒不会被带入我们的企业网络,而局域网的广泛分布和高速连接,也使其很可能成为蠕虫快速泛滥的温床。如何应对现在新的网络安全环境呢?如何在我们的局域网上防范蠕虫,及时地发现、跟踪和阻止其泛滥,是每个网络管理人员所思考的问题。 也许这是一个非常大的命题,事实上也确实需要一个系统的、协同的安全策略才能实现。从网络到主机,从核心层到分布层、接入层,我们要采取全面的企业安全策略来保护整个网络和其所连接的系统。另外,当蠕虫发生时我们要有措施将其影响尽量缓解,并保护网络基础设施,保证网络的稳定运行。IDS的局限 通常,对付蠕虫病毒,我们的做法首先要了解蠕虫的异常行为,并有手段来尽早发现其异常行为。发现可疑行为后要能很快定位其来源,即跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。要搜集到证据并作出判断,如果确是蠕虫病毒,就要及时作出响应的动作,例如关闭端口,对被感染机器进行处理。 但是我们知道,接入交换机遍布于每个配线间,为企业的桌面系统提供边缘接入,由于成本和管理的原因,我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS,对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说,工作在第7层的软件实现的IDS无法处理海量的数据,所以不加选择地对所有流量都进行监控是不实际的。 怎么能找到一种有的放矢、行之有效而又经济扩展的解决方案呢?利用Catalyst交换机所集成的安全特性和Netflow,就可以做到。 第一步:发现可疑流量 我们利用Netflow所采集和输出的网络流量的统计信息,可以发现单个主机发出超出正常数量的连接请求,这种不正常的大流量往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标,会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷(payload)信息。这是Netflow和传统IDS的一个重要区别,一个流记录里不包含高层信息,这样的好处则是可以高速地以硬件方式处理,适合于繁忙的高速局域网环境。 Catalyst6500 和 Catalyst 4500提供了基于硬件的Netflow功能,采集流经网络的流量信息。这些信息采集和统计都通过硬件ASIC完成,所以对系统性能没有影响。某些产品缺省就带了Netflow卡,所以不需增加投资。虽然Netflow不能对数据包做出深层分析,但是已经有足够的信息来发现可疑流量,而且不受“零日”的局限。如果分析和利用得当,Netflow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。 在这当中,需要网络管理员了解流量模式的基线。例如,一个用户同时有50-100个活动的连接是正常的,但是如果一个用户发起大量的(例如1000个)活动的流就是非正常的了。所以用NetFlow进行长期的网络流量检测分析,掌握正常情况下自己网络的流量模型是工作的基础。这些数据不仅仅对防毒有效,对网络优化等工作更是帮助很大。 第二步:逐本溯源 识别出可疑流量后,同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动环境中,用户可以在整个园区网中随意漫游,仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒,否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口,还要定位登录的用户名。 Catalyst集成的安全特性提供了基于身份的网络服务(IBNS),以及DHCP监听、源IP防护和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息,同时防范IP地址假冒。这点非常重要,如果不能防范IP地址假冒,那么Netflow搜集到的信息就没有意义了。用户一旦登录网络,就可获得这些信息。结合ACS(Access Control Server),还可以定位用户登录的用户名。在Netflow 收集器上编写一个脚本文件,当发现可疑流量时,就能以E-mail的方式,把相关信息发送给网络管理员。掌握了这些信息后,网管员就可以马上采取行动了。 第三步:搜集可疑流量 一旦可疑流量被监测到,我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述,Netflow并不对数据包做深层分析,我们需要网络分析工具或入侵检测设备来做进一步的判断。但是,如何能方便快捷地捕获可疑流量并导向网络分析工具呢?速度是很重要的,否则就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置,还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备,也不可能在发现可疑流量时扛着分析仪跑去配线间。 第四步:通过远程SPAN捕获可疑流量 交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上,例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口,只需非常简单的几条命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块),做进一步的分析和做出相应的动作。 整个过程需要多长时间呢?对于一个有经验的网管员来说,在蠕虫发生的5分钟内就能完成,而且他不需要离开他的座位。(如图所示) 我们可以看到,这个解决方案结合了Catalyst上集成的多种安全特性功能,从扩展的802。1x,到DHCP监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用,为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案,这个方案不需更多额外投资,因为利用的是集成在Catalyst上的IOS中的功能特性。也带给我们一个思考:如何利用网络来保护网络?这些我们在选择交换机时可能忽略的特性,会带给我们意想不到的行之有效的安全解决方案。 。

热心网友

这个问题太大了,建议可以看一些关于交换机方面的资料。如 等。

热心网友

你所谓的防毒是什么意思呢?交换机最多工作在网络层,它无法理解数据包内部的含意,因此防护能力是非常有限的。它必须知道源地址和目的地址,因此可以知道哪个地址的数据流量过大,而对此做一定限制,丢弃部分数据包,这也就是“交换机防毒”的极限了。