安全城域汇聚

创新的Catalyst交换机和QoS功能为城域汇聚层带来更高的安全性、可靠性、永续性和卓越的性能。

城域以太网市场正在经历高速的增长，而安全在城域网络的入口位置扮演着极为重要的角色。模块化Cisco Catalyst交换机被用于在汇聚层终结多个DSL接入多路复用器（DSLAM）。DSLAM是一种智能设备，可以针对三网合一的语音、视频和数据服务进行组播互联网群组管理协议（IGMP）监听。它们还支持动态主机控制协议（DHCP）接口跟踪（选项82）和终端用户隔离。

但是，DSLAM不能提供一些重要的安全功能，例如针对中间人攻击、IP伪装和DHCP拒绝服务（DoS）攻击的动态保护。这些安全功能和创新的服务质量（QoS）功能都是在城域汇聚交换层执行的。在这种拓扑中，通常每个DSLAM都利用两个千兆以太网接口连接到一个Cisco Catalyst（参见第62页的图2）。

配有Supervisor Engine V-10GE的Catalyst 4500

支持万兆以太网的线速Cisco Catalyst交换机已经成为电信运营商事实上的最佳选择，因为它让他们可以提供充足的带宽和丰富的服务，从而满足客户需求和保持电信运营商的竞争力。一台配有Supervisor Engine V-10GE的Cisco Catalyst 4500系列交换机可以支持高达136Gbps的交换容量和每秒1.02亿个分组（1.02亿pps）的线速转发能力。模块化引擎能够按照IEEE 802.1q，支持全部4096个活动虚拟LAN（VLAN）。另外，所有这些服务都不会对性能造成任何影响，因为它们都是基于硬件的。这使得运营商能够提供更多的城域以太网点对点或者点对多点以太网服务。

Catalyst 4500系列交换机的双向以太网（100BaseBX、1000BaseBX）接口可以在单条光缆上提供全双工、线速的快速或者千兆以太网点对点服务。交换机的千兆以太网端口支持GLC-BX-U（上行，客户端）和GLX-BX-D（下行，电信运营商）小型可插拔（SFP）接口。这些接口提供了额外的投资回报（ROI），将在地下铺设裸光纤的成本降低了一半。新的双向SFP都是成对安装的（每端的蓝色＋紫色接口），而且每个SFP都承载不同的带宽。常见的部署包括用双向SFP终结用户或者交换机下行连接，以及与城域以太网核心中的Cisco 7600系列路由器建立2×10GE线速上行连接。

图1 Cisco Catalyst 4500系列交换机所支持的新型安全和服务质量功能可以为城域汇聚部署提供更高的性能和保护。双向千兆以太网接口可以将在地下铺设裸光纤的成本降低一半。

Catalyst交换机中的新增的安全和QoS功能

模块化Cisco Catalyst交换机的一些新型安全和QoS功能为城域汇聚部署提供了一组全面的安全服务，让网络管理人员可以灵活地从源头制止安全威胁。这些紧密集成的软件和硬件功能能够共同协作，同时部署在一台交换机上。

图2安全功能——例如对中间人攻击、IP伪装和DHCP DoS攻击的动态防范——由Catalyst交换机在城域汇聚层执行。

• 专用VLAN（PVLAN）中继端口让不同的电信运营商可以通过同一个基础设施分发内容和媒体（数据、语音和视频）。中继端口可以承载多个独立、标准的VLAN，还可以在下行连接的不同端口之间提供隔离。这项功能通过将所有客户端限制在同一个IP子网之中，简化了IP地址的管理。PVLAN中继端口可以通过提供端口隔离和阻止用户的服务伪装尝试，加强网络的安全性。
• 混合PVLAN中继可以在连接到路由器的上行连接中继端口上承载多个VLAN。这项安全功能还可以使同一个中继所承载的用户之间保持隔离，简化线速万兆以太网上行连接端口之间的网络部署。
• 中继端口安全可以制止通过交换机间连接（ISL）或者802.1q中继端口进行的MAC伪装尝试。一台Catalyst交换机可以通过配置，在每个端口、每个VLAN的基础上限制MAC地址。这种方式可以防范各种不同的MAC表耗尽式攻击。
• 每端口每VLAN QoS（PVQoS）是一种针对输入和输出QoS的新功能。在这项功能出现之前，Catalyst交换机只能用于端口级或者VLAN级QoS，而不能同时支持这两种QoS。这项功能让一个城域电信运营商能够在任何一个端口上为VLAN定制它自己的精确QoS服务，从而更好地区分服务等级。它还可以在任何一个指定端口上支持针对每个VLAN的多项服务策略。
• 支持8000个输入和8000个输出监管器，能够利用PVQoS，同时对输入和输出进行监管。这项功能让电信运营商能够调节那些通过输入、输出端口发往数千个用户的流量。
• 汇聚DHCP监听、动态ARP检测和IP源保护分别可以动态地防范DHCP、中间人和IP伪装攻击。这些经过改进的安全功能现在让电信运营商可以在一个DHCP分组上执行安全策略——即使在DSLAM级别执行DHCP接口跟踪（选项82）时也能如此。在这项改进之前，这些动态第二层安全功能只能用于城域接入部署，例如在没有采用DLSAM的楼宇地下室中。
• 硬件三重CAM3（TCAM）被用于在输入分组中查找一个或者多个匹配比特，利用不同的功能对它们进行分类，例如安全ACL和QoS分类。这组比特和它们的匹配值被记录在一个TCAM条目中，而被视为匹配的比特组则被记录在一个TCAM掩码中。在TCAM3中，TCAM条目和TCAM掩码之间存在一一对应的关系。然而在早先的版本中，任何一个指定掩码都有八个TCAM条目与之对应。因为新的TCAM提高了TCAM条目的利用率，它可以支持更多的安全和QoS分类规则。

另外，利用TCAM3硬件接口，交换引擎ASIC能够以线速进行分组搜索。这些TCAM

还让Catalyst交换机能够在任意的IP地址范围之内，在硬件基础上处理安全服务。因为TCAM条目及其掩码之间存在一一对应的关系，TCAM3可以被广泛地用于满足城域汇聚安全和QoS功能的未来要求。即使在对来自于6000个不同的IP地址和所有动态汇聚安全功能的流量进行分类时，TCAM条目利用率仍然只有10%。

图3显示了这些新型功能在城域汇聚网络中的应用。这个例子中所用拓扑的范围旨在表明网络对于利用特定的安全功能制止某些攻击的需要。

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有