分析第三层交换机如何应对安全威胁

　　安全一直信息化时代发展中的一块心病，作为目前最流行的第三层交换机，其在实际应用中也碰到过不少安全威胁，接下来让我们看看第三层交换机是如何应对这些安全问题的。随着行业信息化和中小企业信息化进程的加快，网络建设的热点正在由网络的核心转向网络边缘。骨干网的建设已经基本完成，网络建设的重点转为接入和应用，从而为交换机带来了黄金市场机会。

　　在思科将智能推向边缘，并向市场逐步发力……种种迹象表明，交换机市场正受到各路网络设备诸侯的关注和青睐，将有望成为IT领域的又一个角斗战场。目前，这场角斗抢夺得制高点是对第三层交换机市场的争夺，尤其是边缘的交换机，有关市场调查显示，边缘交换机已经开始超越核心交换机，逐渐地占据主流的地位。从有关的对用户需求的调查显示也证明了这一点：用户在选购交换机时候，考虑最多的购买因素是应用和安全，因而，购买时大多选择可管理性非常强的三层或多层交换机。

　　可以说是市场是催生第三层交换机的主要因素。随着Internet/Intranet的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用，跨地域、跨网络的业务急剧增长，业界和用户深感传统的路由器在网络中的瓶颈效应。改进传统的路由技术迫在眉睫。在这种情况下，一种新的路由技术应运而生，这就是第三层交换机技术。说它是路由器，因为它可操作在网络协议的第三层，是一种路由理解设备并可起到路由决定的作用；说它是交换机，是因为它的速度极快，几乎达到第二层交换的速度。

　　而且，用户网络应用水平的提高，是第三层交换机的大规模应用推动的主要动力之一。随着网络应用的深入，用户已经不再满足于交换机的基本功能，即将输入输出端口连接起来而实现业务流的转发。用户除了要求交换机具备交换、认证、报文过滤功能外，更希望交换机具有路由处理功能，同时用户应用的不同也对网络的弹性提出了新的要求。

　　同时，随着网络规模的迅速扩展和网络中应用的不断增多，用户网络必须加强对访问者的控制，限制非法用户的通信，从而保证整个网络的安全。例如校园网中对设备的安全管理、驻地网对安全接入的要求、企业网络中各个业务之间的隔离等。然而普通交换机不能有效的隔离网络中各网点之间的数据传输、控制用户的访问权限，使用户局域网的安全遭到威胁。第三层交换机则能通过各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制，提高了网络的安全性，并有效的抑制了广播风暴的产生。

　　随着我国企业网、校园网以及宽带建设的迅速发展，第三层交换机的应用也从最初的骨干层、汇聚层一直渗透到边缘的接入层。第三层交换机的出现，正如思科路由器在广域网的广泛应用一样，将在今后很长一段时间主宰网络，这已成为不争的事实。

　　应用与安全的优越性

　　随着互联网的迅猛发展，用户在网络上的应用越来越多，用户在网络上传输的不再仅限于数据，网上交易、网上教学、视频点播、社区影院等日益成为用户对网络的现实需求，纯粹的二层交换已经不能满足用户实际的需求。那么第三层交换机相比二层交换到底有什么样的优越性，在技术上有什么区别呢？思科作为引领交换机市场发展的舵手，它认为三层叫交换机的优势，主要反映在应用与网络安全两个方面。

　　应用上，主要体现在用户网络上传输的不再仅限于数据，语音、视频等，它对延迟、抖动要求非常高的多媒体信息也实现了在同一网络上传输。普通交换机由于工作在OSI 7层模型的第二层（即数据链路层），在划分子网和广播限制等方面提供的控制非常少，极容易造成网络拥塞，使数据包的丢失和延迟增加，服务质量无法保证。第三层交换机则把网络通信中的二层交换技术和三层路由（或称三层转发）技术结合在一起，并通过ASIC技术达到线速交换，大幅度提高了设备数据的包转发能力，消除了转发瓶颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用，切实保证满足各类用户的应用需求。

　　另一方面，随着网络规模的扩大，网络变的越来越复杂，网络在运行和管理方面所付出的代价，大大超过了网络设备本身的成本，易维护和易管理要求也促成了第三层交换机广泛应用。以往，网络管理员将3/4的时间花费在维护网络的基础结构，确保通信流量的优化，并处理移动和变更等工作。通常情况下，当用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站需要进行大量的管理工作。

　　针对于此，第三层交换机VLAN技术很好的解决了网络管理的问题。VLAN的部署将通过减少网络中移动与变更所需要的资源，达到实现为用户节约资源的目的，同时VLAN能实现网络监督与管理的自动化，从而更有效的进行网络监控。远程管理，远程网络监控、故障报警等为网络管理员管理提供了有效的手段。思科的智能网络体系架构能够实现帮助客户在市场中不断增加新的内容业务，如远程教育、呼叫中心、电子商务、企业资源管理、客户关系管理等，帮助企业实现降低生产成本，提高生产力，开发新客户的目的。

　　安全上，主要体现在系统安全性和接入安全两个方面。思科的交换机大都有强大的安全保障系统。在系统安全性方面，在网络由核心到边缘的整体架构中实现了安全机制，主要包括：安全的网络管理，即通过特定技术对网络管理信息进行加密、控制。网络管理信息其实包含有最丰富、最完整的整体网络信息，如果网管信息在传输途中被有意无意窃听、破坏、篡改，那会对整体网络乃至企业运营带来不可预计的损失。思科通过适当的技术对网络全程的网管信息进行改进、加密等，建立起了非常牢固的安全网络系统。在全网系统的安全交换方面，实现了对各交换子网进行扩展树根段保护、从核心到边缘交换实行多层次多手段的ACL、在核心层加载入侵检测、网段间防火墙、企业网内VPN等等多种方式方法。接入安全性方面，思科的各类型终端应用了接入交换系统时的安全接入机制，主要包括：众所周知的802.1x接入验证；RADIUS/TACACS+支持；MAC地址检验；各类型虚网技术，如端口隔离用专用虚网、802.1Q、动态虚网等等。

　　作为网络核心设备的第三层交换机，它的安全还体现在其他的方面。如防黑客攻击的防火墙，市场上的大多的交换机还加强了安全硬件，这对于像金融等要害部门非常重要。还有就是冗余能力，这也是网络安全运行的保证，任何厂商都不能保证其产品不发生故障，而发生故障时能否迅速切换到一个好设备上，是令人关心的问题。所以，在硬件上要考虑冗余能力：是否有重要的冗余元件，如后备电源、管理模块、冗余端口等，这对诸如电信、金融等对安全可靠性要求高的用户尤其重要。以及设计工作人员人身安全的符合何种安全性国际或国家标准：如电磁辐射标准、各种安全标准等。