探究第三层交换机如何提高接入安全性

　　目前组网用户对设备性能的要求越来越高，这也成为第三层交换机快速发展的一个动力，满足用户其他更多的需求，随着行业信息化和中小企业信息化进程的加快，网络建设的热点正在由网络的核心转向边缘。网络建设重点向接入和应用的迁移，为交换机带来了市场的“黄金”机会。在众多厂商将网络智能推向边缘、并向市场逐步发力时，交换机市场正受到各路网络设备诸侯的关注和青睐，有望成为IT领域的又一个角斗战场。

　　目前，这场战斗的制高点是第三层交换机市场，尤其是边缘交换机。有关市场调查显示，边缘交换机已经开始超越核心交换机，逐渐占据主流的地位。有关的对用户需求的调查结果也证明了这一点: 用户在选购交换机时，考虑最多的购买因素是应用和安全，因而，大多选择可管理性非常强的三层或多层交换机。

　　改进传统路由技术

　　随着Internet/Intranet的迅猛发展和B/S(浏览器/服务器)计算模式的广泛应用，跨地域、跨网络的业务急剧增长，业界和用户深感传统的路由器在网络中的瓶颈效应。因此，改进传统的路由技术迫在眉睫。在这种情况下，一种新的路由技术应运而生，这就是第三层交换机技术。基于这种技术的三层设备，如果称之为“路由器”，是因为它可操作在网络协议的第三层，是一种路由理解设备并可起到路由决定的作用;如果说它是“交换机”，是因为它的速度极快，几乎达到第二层交换的速度。

　　用户网络应用水平的提高，是推动第三层交换机大规模应用的主要动力之一。用户已经不再满足于交换机的基本功能，即将输入输出端口连接起来而实现业务流的转发，除了要求交换、认证、报文过滤功能外，更希望交换机具有路由处理功能;用户应用的不同，也对网络的弹性提出了新的要求。

　　同时，随着网络规模的迅速扩展和网络中应用的不断增多，用户网络必须加强对访问者的控制，限制非法用户的通信，从而保证整个网络的安全，例如校园网中对设备的安全管理、驻地网对安全接入的要求、企业网络中各个业务之间的隔离等。然而，普通交换机无法有效地隔离网络中各网点之间的数据传输、控制用户的访问权限，使用户局域网的安全遭到威胁。第三层交换机则能通过各种显式或隐式的VLAN划分方法提供基于策略的安全访问机制，提高了网络的安全性，并有效抑制了广播风暴的产生。

　　随着我国企业网、校园网以及宽带建设的迅速发展，第三层交换机的应用也从最初的骨干层、汇聚层一直渗透到边缘的接入层。第三层交换机的出现，正如思科路由器在广域网的广泛应用一样，将在今后很长一段时间主宰网络。

　　满足多媒体应用

　　随着互联网的迅猛发展，用户在网络上的应用越来越多，用户在网络上传输的不再仅限于数据，网上交易、网上教学、视频点播、社区影院等日益成为用户对网络的现实需求，纯粹的二层交换已经不能满足用户实际的需求。第三层交换机的优势，主要体现在应用与网络安全两个方面。

　　应用上，主要体现在用户网络上传输的不再仅限于数据，语音、视频等对延迟、抖动要求非常高的多媒体信息也实现了在同一网络上传输。普通交换机由于工作在OSI 7层模型的第二层(即数据链路层)，在划分子网和广播限制等方面提供的控制非常少，极容易造成网络拥塞，使数据包的丢失和延迟增加，服务质量无法保证。第三层交换机则把网络通信中的二层交换技术和三层路由(或称三层转发)技术结合在一起，并通过ASIC技术达到线速交换，大幅度提高了设备数据的包转发能力，消除了转发瓶颈。同时通过VLAN划分、高效的组播控制、流策略的管理及访问控制等功能有效保证网络资源的充分利用，切实保证满足各类用户的应用需求。

　　另一方面，随着网络规模的扩大，网络变得越来越复杂，网络在运行和管理方面所付出的代价，大大超过了网络设备本身的成本。易维护和易管理的要求，也促成了第三层交换机广泛应用。以往，网络管理员将3/4的时间花费在维护网络的基础结构，以确保通信流量的优化，并处理移动和变更等工作。通常情况下，当用户转移到网络中另一个物理位置时，需要重新配置网络，甚至还有用户的工作站也需要进行大量的管理工作。

　　针对于此，第三层交换机VLAN技术很好地解决了网络管理的问题。VLAN的部署将通过减少网络中移动与变更所需要的资源，达到为用户节约资源的目的，同时VLAN能实现网络监督与管理的自动化，从而更有效地进行网络监控。远程管理、远程网络监控、故障报警等为网络管理员进行管理提供了有效的手段。思科的智能网络体系架构能够帮助客户在市场中不断增加新的内容业务，如远程教育、呼叫中心、电子商务、企业资源管理、客户关系管理等，帮助企业实现降低生产成本、提高生产力、开发新客户的目的。

　　提高系统和接入安全性

　　网络安全主要体现在系统安全性和接入安全两个方面。第三层交换机大都有强大的安全保障系统。在系统安全性方面，在网络由核心到边缘的整体架构中实现了安全机制，主要指安全的网络管理，即通过特定技术对网络管理信息进行加密、控制。网络管理信息包含有最丰富、最完整的整体网络信息，如果网管信息在传输途中被有意无意窃听、破坏、篡改，那会对整体网络乃至企业运营带来不可预计的损失。

　　思科通过适当的技术对网络全程的网管信息进行改进、加密等，建立起了非常牢固的安全网络系统。在全网系统的安全交换方面，实现了对各交换子网进行扩展树根段保护、从核心到边缘交换实行多层次多手段的ACL、在核心层加载入侵检测、网段间防火墙、企业网内VPN等多种方式方法。在接入安全性方面，思科的各类型终端应用了接入交换系统时的安全接入机制，主要包括802.1x接入验证;RADIUS/TACACS+支持;MAC地址检验;各类型虚网技术，如端口隔离用专用虚网、802.1q、动态虚网等。

　　作为网络核心设备的三层交换机，其安全还体现在其他方面，如防黑客攻击的防火墙。市场上大多数交换机还加强了安全硬件。另外，就是冗余能力，任何厂商都不能保证其产品不发生故障，而发生故障时能否迅速切换到一个好设备上，是十分重要的问题。所以，在硬件上要考虑冗余能力：是否有重要的冗余元件，如后备电源、管理模块、冗余端口等，这对诸如电信、金融等对安全可靠性要求高的用户尤其重要; 以及涉及工作人员人身安全的国际或国家标准，如电磁辐射标准、各种安全标准等。