但是,DSLAM不能提供一些重要的安全功能 ,例如针对中间人攻击、IP伪装和DHCP拒绝服务(DoS)攻击的动态保护。这些安全功能和创新的服务质量(QoS)功能都是在城域汇聚交换层执行的。在这种拓扑中,通常每个DSLAM都利用两个千兆以太网接口连接到一个Cisco Catalyst。
配有Supervisor Engine V-10GE的Catalyst 4500
支持万兆以太网的线速Cisco Catalyst交换机已经成为电信运营商事实上的非常好的选择,因为它让他们可以提供充足的带宽和丰富的服务,从而满足客户需求和保持电信运营商的竞争力。一台配有Supervisor Engine V-10GE的Cisco Catalyst 4500系列交换机可以支持高达136Gbps的交换容量和每秒1.02亿个分组(1.02亿pps)的线速转发能力。模块化引擎能够按照IEEE 802.1q,支持全部4096个活动虚拟LAN(VLAN)。另外,所有这些服务都不会对性能造成任何影响,因为它们都是基于硬件的。这使得运营商能够提供更多的城域以太网点对点或者点对多点以太网服务。
Catalyst 4500系列交换机的双向以太网(100BaseBX、1000BaseBX)接口可以在单条光缆上提供全双工、线速的快速或者千兆以太网点对点服务。交换机的千兆以太网端口支持GLC-BX-U(上行,客户端)和GLX-BX-D(下行,电信运营商)小型可插拔(SFP)接口。这些接口提供了额外的投资回报(ROI),将在地下铺设裸光纤的成本降低了一半。新的双向SFP都是成对安装的(每端的蓝色+紫色接口),而且每个SFP都承载不同的带宽。常见的部署包括用双向SFP终结用户或者交换机下行连接,以及与城域以太网核心中的Cisco 7600系列路由器建立2×10GE线速上行连接。
图1 Cisco Catalyst 4500系列交换机所支持的新型安全和服务质量功能可以为城域汇聚部署提供更高的性能和保护。双向千兆以太网接口可以将在地下铺设裸光纤的成本降低一半。
Catalyst交换机中的新增的安全和QoS功能
模块化Cisco Catalyst交换机的一些新型安全和QoS功能为城域汇聚部署提供了一组全面的安全服务,让网络管理人员可以灵活地从源头制止安全威胁。这些紧密集成的软件和硬件功能能够共同协作,同时部署在一台交换机上。
图2安全功能——例如对中间人攻击、IP伪装和DHCP DoS攻击的动态防范——由Catalyst交换机在城域汇聚层执行。
专用VLAN(PVLAN)中继端口让不同的电信运营商可以通过同一个基础设施分发内容和媒体(数据、语音和视频)。中继端口可以承载多个独立、标准的VLAN,还可以在下行连接的不同端口之间提供隔离。这项功能通过将所有客户端限制在同一个IP子网之中,简化了IP地址的管理。PVLAN中继端口可以通过提供端口隔离和阻止用户的服务伪装尝试,加强网络的安全性。
混合PVLAN中继可以在连接到路由器的上行连接中继端口上承载多个VLAN。这项安全功能还可以使同一个中继所承载的用户之间保持隔离,简化线速万兆以太网上行连接端口之间的网络部署。
中继端口安全可以制止通过交换机间连接(ISL)或者802.1q中继端口进行的MAC伪装尝试。一台Catalyst交换机可以通过配置,在每个端口、每个VLAN的基础上限制MAC地址。这种方式可以防范各种不同的MAC表耗尽式攻击。
每端口每VLAN QoS(PVQoS)是一种针对输入和输出QoS的新功能。在这项功能出现之前,Catalyst交换机只能用于端口级或者VLAN级QoS,而不能同时支持这两种QoS。这项功能让一个城域电信运营商能够在任何一个端口上为VLAN定制它自己的精确QoS服务,从而更好地区分服务等级。它还可以在任何一个指定端口上支持针对每个VLAN的多项服务策略。
支持8000个输入和8000个输出监管器,能够利用PVQoS,同时对输入和输出进行监管。这项功能让电信运营商能够调节那些通过输入、输出端口发往数千个用户的流量。
汇聚DHCP监听、动态ARP检测和IP源保护分别可以动态地防范DHCP、中间人和IP伪装攻击。这些经过改进的安全功能现在让电信运营商可以在一个DHCP分组上执行安全策略——即使在DSLAM级别执行DHCP接口跟踪(选项82)时也能如此。在这项改进之前,这些动态第二层安全功能只能用于城域接入部署,例如在没有采用DLSAM的楼宇地下室中。
硬件三重CAM3(TCAM)被用于在输入分组中查找一个或者多个匹配比特,利用不同的功能对它们进行分类,例如安全ACL和QoS分类。这组比特和它们的匹配值被记录在一个TCAM条目中,而被视为匹配的比特组则被记录在一个TCAM掩码中。在TCAM3中,TCAM条目和TCAM掩码之间存在一一对应的关系。然而在早先的版本中,任何一个指定掩码都有八个TCAM条目与之对应。因为新的TCAM提高了TCAM条目的利用率,它可以支持更多的安全和QoS分类规则。
另外,利用TCAM3硬件接口,交换引擎ASIC能够以线速进行分组搜索。这些TCAM
还让Catalyst交换机能够在任意的IP地址范围之内,在硬件基础上处理安全服务。因为TCAM条目及其掩码之间存在一一对应的关系,TCAM3可以被广泛地用于满足城域汇聚安全和QoS功能的未来要求。即使在对来自于6000个不同的IP地址和所有动态汇聚安全功能的流量进行分类时,TCAM条目利用率仍然只有10%。
图3显示了这些新型功能在城域汇聚网络中的应用。这个例子中所用拓扑的范围旨在表明网络对于利用特定的安全功能制止某些攻击的需要。
十年以来,Rupa Kuar一直担任思科千兆交换事业部的高级技术营销工程师。在从事技术营销之前,她是一名ATM平台开发工程师。她的电子邮件地址为rupa@cisco.com。
PVLAN在城域以太网环境中非常有用,因为它们可以自动地在多个DSLAM之间提供隔离。PVLAN隔离中继可用于在同一个端口上复用多个VLAN,同时保持用户之间的隔离。这项功能还让客户可以通过透明的网络订购多个ISP的服务。PVLAN混合中继(2005年下半年推出)可用于在交换机上的上行连接端口上为数千个用户提供服务。在混合中继出现之前,一台Catalyst交换机只能在一个混合端口上承载一个VLAN,从而需要为数众多的物理端口。利用这项新功能,很多主PVLAN可以被复用到一个或者多个(有助于加强永续性和负载均衡)万兆以太网或者千兆以太网上行连接。Catalyst 4500上的PVLAN混合中继可以连接到Cisco 7600系列路由器,由后者提供IPv4、IPv6或者多协议标签交换(MPLS)服务。
PVLAN中继端口还可以支持中继端口安全。它可以限制一个中继端口上的各个VLAN的允许MAC地址或者最大MAC地址数。它可以将中继端口限制到设定的MAC地址,确保其他MAC地址无法加入网络。在发生违反中继端口安全策略的行为时,中继端口将被关闭,同时将生成一个简单网络管理协议(SNMP)捕获。当一台Catalyst交换机通过一个802.1q或者ISL中继连接到一台相邻的第二层交换机或者DSLAM时,需要使用中继端口安全。
针对每个端口、每个VLAN的QoS让网络管理人员可以为每个VLAN制定专门的服务策略。这种通过硬件执行的策略可能包括输入和输出监管,信任差分服务代码点(DSCP),或者为语音分组提供高于数据的优先级。图4显示了在Cisco Catalyst 4500系列交换机上配置这三项功能的示例。
图3Cisco Catalyst模块化交换机上的安全功能(例如PVLAN)使网络管理员可以灵活地从源头制止安全威胁。
图4在一台Cisco Catalyst 4500系列交换机中配置输入/输出监管、信任DSCP和提供语音分组优先级的示例
图5在一台Cisco Catalyst 4500系列交换机上配置DHCP监听的示例
图6在一台Cisco Catalyst 4500系列交换机上配置动态ARP检测和IP源保护的示例
DHCP接口跟踪(即选项82)有助于满足很多国家的法律要求。这些法规要求DSLAM必须持续不断地跟踪DHCP服务和租约。DHCP接口跟踪只能提供DHCP分组的跟踪路径,但是不会实施安全措施。DSLAM会在从客户端发往服务器的DHCP请求分组中插入关于它自身的信息。当一台Catalyst交换机处于汇聚模式时,它将无法更改来自于DSLAM的选项82,从而迫使该端口获得信任资格。为该端口提供信任资格将导致业界领先的DHCP监听、动态ARP检测和IP源保护等安全功能无法在城域以太网中使用。现在,思科针对选项82直通功能改造了Catalyst交换机,这意味着交换机可以透明地发送选项82,从而实现对DHCP分组的深层检测。
DHCP监听能够在制止恶意DHCP服务器的同时,防止网络遭受DoS攻击。它可以通过对输入DHCP分组进行速率限制,以及限制面向客户的端口只能发送DHCP请求和续约流量,实现这样的安全保障目标。例如,边缘端口无法像DHCP服务器一样提供DHCP租约。DHCP监听还为其他一些安全功能奠定了基础,例如IP源保护和动态ARP检测。这项功能让交换机可以“监听”针对DHCP分组的交换流量,创建一个动态绑定(如图5所示)。
动态ARP检测可以利用DHCP监听绑定,防范针对静态和动态IP地址的ARP伪装和中间人攻击。任何违反安全策略的主机都会被记录下来,而且相关端口也会被禁用,直到管理人员采取补救措施为止。IP源保护可以通过动态维护每个端口的VLAN ACL,制止IP地址伪装。IP源保护还可以利用DHCP监听表,提高IP源地址的安全性。该功能可以自动地将某个IP和MAC地址锁定到某个指定的端口。例如,当用户利用“ipconfig /release”租用该IP地址时,动态ACL将会去除。图6显示了这些功能的配置示例。
本文所介绍的所有Cisco Catalyst安全和QoS功能都互相依存——就如同一组安全“阶梯”。所有服务都共同部署在它们上方。这些功能可以帮助电信运营商建立永续、高性能、可靠、安全的城域第二层(或者更高层次)网络。这些交换机不仅可以满足今天的网络需要,而且还可以适应未来的需要和挑战。
