有關交換技術大匯總
交換技術能經濟地將網絡分成小的沖突網域,為每個工作站提供更高的帶寬,一但你擁有了此技術,那么你的工作和你的工作效率一定會大大的提高了。
生成樹協議(STP)可以防止冗余的交換環境出現回路。要是網絡有回路,就會變得擁塞不堪,從而出現廣播風暴,引起MAC表不一致,最終使網絡崩潰。使用STP的所有交換技術都通過網橋協議數據單元(BPDU)來共享信息,BPDU每兩秒就發送一次。
交換技術發送BPDU時,里面含有名為網橋ID的標號,這個網橋ID結合了可配置的優先數(默認值是32768)和交換機的基本MAC地址。交換機可以發送并接收這些BPDU,以確定哪個交換機擁有最低的網橋ID,擁有最低網橋ID的那個交換機成為根網橋(rootbridge)。
根網橋好比是小鎮上的社區雜貨店,每個小鎮都需要一家雜貨店,而每個市民也需要確定到達雜貨店的最佳路線。比最佳路線來得長的路線不會被使用,除非主通道出現阻塞。
根網橋的工作方式很相似。其他每個交換機確定返回根網橋的最佳路線,根據成本來進行這種確定,而這種成本基于為帶寬所分配的值。如果其他任何路線發現擺脫阻塞模式不會形成回路(譬如要是主路線出現問題),它們將被設成阻塞模式。
惡意黑客利用STP的工作方式來發動拒絕服務(DoS)攻擊。如果惡意黑客把一臺計算機連接到不止一個交換機,然后發送網橋ID很低的精心設計的BPDU,就可以欺騙交換機,使它以為這是根網橋,這會導致STP重新收斂(reconverge),從而引起回路,導致網絡崩潰。
MAC表洪水攻擊交換技術的工作方式是:幀在進入交換機時記錄下MAC源地址,這個MAC地址與幀進入的那個端口相關,因此以后通往該MAC地址的信息流將只通過該端口發送出去。這可以提高帶寬利用率。
因為信息流用不著從所有端口發送出去,而只從需要接收的那些端口發送出去。MAC地址存儲在內容可尋址存儲器(CAM)里面,CAM是一個128K大小的保留內存,專門用來存儲MAC地址,以便快速查詢。如果惡意黑客向CAM發送大批數據包,就會導致交換機開始向各個地方發送大批信息流,從而埋下了隱患,甚至會導致交換機在拒絕服務攻擊中崩潰。
ARP攻擊ARP(AddressResolutionProtocol)欺騙是一種用于會話劫持攻擊中的常見手法。地址解析協議(ARP)利用第2層物理MAC地址來映射第3層邏輯IP地址,如果設備知道了IP地址,但不知道被請求主機的MAC地址,它就會發送ARP請求。
ARP請求通常以廣播形式發送,以便所有主機都能收到。惡意黑客可以發送被欺騙的ARP回復,獲取發往另一個主機的信息流。假設黑客Jimmy也在網絡上,他試圖獲取發送到這個合法用戶的信息流,黑客Jimmy欺騙ARP響應。
聲稱自己是IP地址為10.0.0.55(MAC地址為05-1C-32-00-A1-99)的主人,合法用戶也會用相同的MAC地址進行響應。結果就是,交換機在MAC地表中有了與該MAC表地址相關的兩個端口,發往這個MAC地址的所有幀被同時發送到了合法用戶和黑客Jimmy。
“交換技術”是一個舶來詞,源自英文“Switch,原意是“開關”,我國技術界在引入這個詞匯時,翻譯為“交換”。在英文中,動詞“交換”和名詞“交換機”是同一個詞(注意這里的“交換”特指電信技術中的信號交換,與物品交換不是同一個概念)。
1993年,局域網交換設備出現,1994年,國內掀起了交換網絡技術的熱潮。其實,交換技術是一個具有簡化、低價、高性能和高端口密集特點的交換產品,體現了橋接技術的復雜交換技術在OSI參考模型的第二層操作。
與橋接器一樣,交換機按每一個包中的MAC地址相對簡單地決策信息轉發。而這種轉發決策一般不考慮包中隱藏的更深的其他信息。與橋接器不同的是交換機轉發延遲很小,操作接近單個局域網性能,遠遠超過了普通橋接互聯網絡之間的轉發性能。
交換技術允許共享型和專用型的局域網段進行帶寬調整,以減輕局域網之間信息流通出現的瓶頸問題。現在已有以太網、快速以太網、FDDI和ATM技術的交換產品。 類似傳統的橋接器,交換機提供了許多網絡互聯功能。
交換技術能經濟地將網絡分成小的沖突網域,為每個工作站提供更高的帶寬。協議的透明性使得交換機在軟件配置簡單的情況下直接安裝在多協議網絡中;交換機使用現有的電纜、中繼器、集線器和工作站的網卡,不必作高層的硬件升級;交換機對工作站是透明的,這樣管理開銷低廉,簡化了網絡節點的增加、移動和網絡變化的操作。
【編輯推薦】
