说一下安全交换机的“潜规则”

网络 路由交换
安全交换机就是一个很虚的没有实际意义的概念,放弃具有明显的性价比优势的网络安全解决方案。

安全交换机读取到帧中足够的信息并能识别出目的地址后,交换式局域网并不自动就是全双工操作,只有在交换器中设置了全双工端口以及做一些相应的改进。

交换机“安全”背后的潜台词是什么?它的安全功能可以取代安全产品吗?安全交换机的未来走向怎样? 看来,一些交换机厂商们集体上演了两三年的产品“安全”秀,有些粗糙与匆忙。

做网络集成的陈先生在2005年的一次招标中碰到一件闹心事,在一个中型网络构建的项目就要签署的时候,被该用户的一位领导喊暂缓。原因据说是,与之竞争的另一家集成商的销售找到用户的这位领导,许诺在同样的价格下,将提供安全交换机

陈先生找过去一看,吓一跳。所谓的“安全交换机”和自己所提供的交换机在性能、功能上是一摸一样,只是将802.1x认证和虚拟局域网VLAN这两功能单独提炼出来,强调是“安全交换机”。

交换机在几年前就有认证和VLAN这些基本功能了,但人们并没有把它拿出来说是安全。”陈先生说,“我以为用户应该很明白,就没有去强调,没想到差点丢单。”在做了4、5年网络集成的陈先生看来。

交换机至少应该是集成了重要安全产品特性(例如防火墙,VPN)才能算得上安全交换机。究竟什么样的交换机可称作安全交换机?其“安全”背后的潜台词是什么?它可以取代安全产品吗?“安全交换机”的未来走向怎样?

概念模糊不清

记者在采访中发现,主流厂商的技术人员对安全交换机被一些厂商和媒体追捧为网络热点产品持保留态度。“安全交换机是一个不准确的概念。” 一位思科工程师说,对于用户来讲,需要的是一个安全的可靠网络,这个网络能够提供高质量的支持数据、语音和视频服务。

在他看来,具备安全功能的交换机只是整合的网络安全方案中的一个设备而已,不同厂商的不同类型的交换机中集成的安全功能各有不同,而思科也从未明确定义过何为安全交换机

负责思科系统公司数据中心、交换和安全技术业务的高级副总裁Jayshree Ullal女士认为,“孤立”的安全服务不存在,安全正在发展成为为一种嵌入式的网络服务,而思科正在将数据安全以服务器为中心的模式扩展为以网络为中心的保护模式,提出了“数据中心网络化应用”(Datacenter Networked Applications, DNA)。

因此,保障安全永续的业务运行,所需要的是整合的网络安全解决方案,通过丰富的安全产品线和众多融合了安全功能的网络设备,进行关联与防御控制,来提高威胁防御的智能水平,以确保应用安全和数据安全,也就是“自防御网络”。

华为3Com高级产品经理赵晓轩认为,安全是一个非常复杂的概念,狭义的安全包括VPN,防火墙,IDS;而广义的安全则比较泛,如果大家都往这上面套的话,安全交换机就是一个很虚的没有实际意义的概念。

首先,在交换机这个层面上来看,低端产品根本做不到融合防火墙和VPN的等安全功能,高端交换机虽然依靠其自身体系结构的优势,可以通过模块,来叠加安全功能,但国内能够提供高端交换机的厂商本来就寥寥无几。从这个意义上讲,国内一些厂商所叫嚷的安全交换机,大部分来得比较牵强。

其次,安全交换机单独作为一个产品概念来营销,未必真的有效。成熟的高端用户往往很清楚,网络安全是一个整体安全的概念,而不可能仅仅依靠设备安全来保证安全,他们需要的是一个端对端的安全解决方案,这个方案包括了VPN,防火墙,甚至杀毒软件,而包括交换机在内的网络设备和这些软件之间要能做到安全联动。

向中小企业用户来推广使用增加了真正安全功能的高端交换机,难度更大。一方面,这些用户本身对于高端交换机需求量不大,性价比是其购买设备的重要驱动力,更何况增加了安全功能的交换机。

价格肯定要上去;另一方面,网络设备在低端市场上是一个各司其职的概念,如果要融入安全基因,就会尽量以一种低成本的方式融入。“交换机和一些低端的网络安全设备已经便宜。” 赵晓轩说,“用户不可能为了一个看上去时髦和先进的模糊概念,放弃具有明显的性价比优势的网络安全解决方案。”

“安全”潜台词

交换机需要具有安全性。”锐捷网络高级产品经理罗自灵的看法得到了思科、华为3Com、神码网络等主流厂商的技术同仁们的认同。普遍的看法认为,交换机的安全性可以分为三个层次:

其一,是交换机自身的安全。交换机实际是一个为转发数据包优化的计算机,而是计算机就有被攻击的可能。而交换机最基本的安全功能就是,在黑客攻击和病毒侵扰下,能够继续保持其高效的数据转发速率,不受到攻击的干扰。

局域网交换机的交换方式一般地,交换机主要通过以下4中方式实现交换。(1)直通式:在这种模式下,交换机只需要知道帧的目的MAC地址就可以成功的将帧转发到目的地。

安全交换机读取到帧中足够的信息并能识别出目的地址后,它将立即把帧发送到目的端口。直通式的优点是由于不需要存储,延迟非常小,交换非常快。但是缺点是由于没有缓存,数据包内容并没有被以太网交换机保存下来,所以无法检查所传送的数据包是否有误,不能提供错误检测能力,而且容易丢包。

存储转发:存储转发方式是将输入端口的数据包先存储起来,然后进行CRC检查,在对错误包处理后才取出数据包的目的地址,通过查找MAC地址表转换成输出端口送出包。由于这种方式可以对进入交换机的数据包进行错误检测。

使网络中的无效帧大大减少,所以可有效的改善网络性能。但是缺点是由于需要存储再转发,导致数据处理时延大,然而随着ASIC的降低以及处理器的速度的增加,许多新的交换机都可以在很短的时间内完成整个帧的检查,所以这种交换方式应用比较广泛。

【编辑推荐】

  1. 剖析正确判读测试交换机端口方法
  2. 概括高端交换机的市场现状问题
  3. 解析强调有关核心层交换机故障问题
  4. PythonAndroid学习掌握24口千兆交换机挑选技巧说明
  5. 深入谈谈以太网交换机的堆叠问题
责任编辑:chenqingxiang 来源: 博客园
相关推荐

2010-03-11 14:28:49

2010-03-15 10:35:46

三层交换

2010-03-11 14:12:14

BMC交换机

2010-01-04 13:11:34

骨干交换机

2010-01-19 09:57:10

2009-04-29 14:20:12

2010-01-15 17:28:57

2010-10-08 11:49:35

2011-09-02 14:59:15

2022-05-18 07:43:09

Exchange交换器JUC

2010-01-14 10:43:18

交换机配置交换机种类

2010-01-12 15:42:45

2010-01-05 10:14:39

交换机配置TRUNK

2017-05-23 13:57:42

交换机方法网络

2009-12-23 16:39:42

2010-03-11 16:45:46

全光交换机

2010-01-18 15:22:47

交换机MAC地址

2010-01-05 11:24:08

交换机背板带宽

2014-06-20 14:02:11

交换机

2010-03-19 16:11:58

以太网交换机
点赞
收藏

51CTO技术栈公众号